Mit Govulncheck v1.0.0 hat Google einen Schwachstellenscanner für Go-Projekte veröffentlicht. Über ein API lässt sich der Scan in weitere Tools integrieren.
Angekündigt hatte Google seine Unterstützung für das Schwachstellenmanagement bereits vergangenen September. Das nun veröffentlichte Govulncheck ist ein Kommandozeilentool, das Go-Entwicklern hilft, bekannte Schwachstellen in ihren Projekten zu finden, teilt Google mit. Das Tool könne die Codebasis und Binaries gleichermaßen untersuchen. Es reduziere zudem unnötiges Fals-Positiv-Rauschen, indem es die Schwachstellen in den Funktionen priorisiert, die vom Code tatsächlich aufgerufen werden.
Govulncheck basiert auf der Go Vulnerability Database die Informationen zu bekannten Schwachstellen in Go-Modulen vorhält. Die Einträge dieser Datenbank lassen sich auch durchsuchen.
Die ebenfalls veröffentlichte API liefere dieselbe Funktionalität wie der Befehl „govulncheck“ und ermöglicht es Entwicklern, Sicherheitsscanner und andere Tools mit govulncheck zu integrieren, berichtet Google weiter. Govulncheck lasse sich etwa auch direkt über die Go-Erweiterung für Visual Studio Code verwenden.
Der Beitrag von Google liefert How-tos und Informationen zur Nutzung und Integration von Govulncheck.
