期待這個 Go 新特性：讓 Go 漏洞無處遁形

大家好，我是站長 polarisxu。

今天和大家分享一個 Go 團(tuán)隊的信息。

之前我分享過，如果 Go 遇到安全問題，會臨時發(fā)布漏洞修復(fù)版本。一直以來，在安全方面，Go 相關(guān)的設(shè)施還是不太夠。有一個組織 「JFrog」，提供了相關(guān)工具（Xray），能夠掃描出各種語言的安全問題（之前用在線版，但目前貌似沒有了，沒找到）。

今天看到 rsc 前兩天發(fā)了一條推文

Go Team 計劃創(chuàng)建一個 Go 漏洞數(shù)據(jù)庫，希望為 Go 開發(fā)人員提供低噪聲，可靠的方式，以警告影響其應(yīng)用程序的已知安全漏洞。

這個安全漏洞數(shù)據(jù)庫，計劃基于通用的 JSON 格式，方便靜態(tài)分析工具做分析，也方便安全人員做研究，因為 JSON 不依賴具體語言。

目前創(chuàng)建了提案草案，計劃在 Go 工具鏈增加相關(guān)的支持，比如：go audit。同時會考慮集成到 vscode-go 中，以及在 go.pkg.dev 中也會采用，這樣大家可以更安全的使用第三方庫，知曉它們有沒有安全問題。

這里是關(guān)于這個方案的文檔，大家可以參與討論：https://tinyurl.com/vuln-json。

有這個這樣的數(shù)據(jù)庫和工具，相信安全問題會有更好的保障~