重磅！GitHub 為 Go 社區(qū)帶來安全支持

大家好，我是 polarisxu。

關(guān)于 Go 安全相關(guān)的內(nèi)容，我寫過幾篇文章：《Go 團(tuán)隊(duì)開始重視安全問題了》、《Go Module 有漏洞？免費(fèi)的 Go 漏洞掃描 VSCode 插件》和《這個(gè)工具真好：看看你的Go項(xiàng)目依賴有無漏洞》，有興趣的可以看看。

今天介紹另外一個(gè)關(guān)于安全的內(nèi)容，是 GitHub 的。

大家都知曉，目前 Go 是嚴(yán)重依賴 GitHub 的，很多第三方庫基本都托管在 GitHub 上。因?yàn)?Go 把 GitHub 既當(dāng)作代碼協(xié)作的平臺(tái)，也當(dāng)作發(fā)布包的平臺(tái)，從而使 Go 成為如今 GitHub 上排名前 5 的編程語言之一，見《GitHub 顯示，Go 排名第 4 了，有視頻為證！》。所以，GitHub 官方也更重視 Go 社區(qū)，最近宣布他們的安全特性可以用于 Go 模塊，這將有助于 Go 社區(qū)發(fā)現(xiàn)、報(bào)告和防止安全漏洞。

01 GitHub 安全數(shù)據(jù)庫

GitHub 有一個(gè)開放的安全建議數(shù)據(jù)庫，叫 Advisory Database^[1]，專注于為開發(fā)人員提供高質(zhì)量、可操作的漏洞信息。它使用的是知識(shí)共享署名 4.0，所以數(shù)據(jù)可以在任何地方使用。

從上圖可以看到，目前這個(gè)數(shù)據(jù)庫支持 PHP、Go、Java、JS、.NET、Python、Ruby 等語言，GitHub 發(fā)文宣布支持 Go 時(shí)，該數(shù)據(jù)庫有 155 條 Go 相關(guān)記錄，現(xiàn)在已經(jīng) 164，你看到這篇文章時(shí)，應(yīng)該會(huì)更多。正如 GitHub 宣稱的，隨著他們對(duì)現(xiàn)有漏洞和新發(fā)現(xiàn)的漏洞進(jìn)行篩選，這個(gè)數(shù)字每天都在增長(zhǎng)。

02 如何幫助發(fā)現(xiàn)漏洞

有這個(gè)數(shù)據(jù)庫，那 GitHub 是如何幫助發(fā)現(xiàn)漏洞的呢？

GitHub 很早就有一套安全策略，只是現(xiàn)在這套策略可以支持 Go 倉庫。關(guān)于這套策略的詳細(xì)信息，可以查看 GitHub 官方文檔：https://docs.github.com/cn/code-security/getting-started/securing-your-repository，這里給的是中文版。

這里簡(jiǎn)單介紹幾個(gè)點(diǎn)。

• 公開的倉庫，默認(rèn)啟動(dòng)了相關(guān)的安全策略；如果是私有倉庫，需要你手動(dòng)處理，文檔中有說明；
• 可以自定義用戶如何報(bào)告安全漏洞。這點(diǎn)建議大的開源項(xiàng)目可以好好研究、利用下。官方建議是，再漏洞進(jìn)入 GitHub   建議漏洞庫之前，你和報(bào)告者私下溝通交流解決。

具體來說，在倉庫的 Security 選項(xiàng)卡，可以配置安全策略。

在 Insights 選項(xiàng)卡可以查看依賴相關(guān)信息，包括配置是否觸發(fā)依賴漏洞報(bào)警等。

03 哪個(gè)更好用

了解了幾個(gè)安全相關(guān)的工具后，到底該用哪個(gè)？VSCode 插件是適合大部分人的選擇，不過 jfrog 的 gocenter 不維護(hù)了，所以沒法用了。

所以，我推薦谷歌的 deps.dev。不過如果你是開源項(xiàng)目作者，你應(yīng)該好好研究、利用下 GitHub 提供的安全策略，讓你的開源項(xiàng)目更健壯。

參考資料