Go 社區(qū)從誕生之初就積極擁抱了 GitHub，如今 GitHub 既是 Go 語言相關(guān)項目的代碼協(xié)作平臺，也是發(fā)布軟件包的地方，也正因如此 Go 編程語言成為了 GitHub 最受歡迎的編程語言之一。為了改善 Go 模塊在安全漏洞方面的發(fā)現(xiàn)、報告和預(yù)防，近日 GitHub 宣布了多項新功能以提升 Go 模塊的供應(yīng)鏈安全。

根據(jù) GitHub 的說法，他們對 Go 模塊在供應(yīng)鏈安全方面主要有以下四個方面的改進：

Advisories

GitHub 的 Advisories Database 是一個開源的漏洞信息數(shù)據(jù)庫，專注于為開發(fā)者提供高質(zhì)量的、可操作的漏洞信息。它基于 Creative Commons Attribution 4.0 協(xié)議，所以數(shù)據(jù)可以在任何地方使用。到目前為止，該數(shù)據(jù)庫已經(jīng)發(fā)布了 150 多個相關(guān)內(nèi)容，而且隨著 GitHub 對現(xiàn)有漏洞的整理和對新發(fā)現(xiàn)漏洞的分類，這個數(shù)字將會每天得到增長。

如果你是 Go 模塊的維護者，現(xiàn)在還可以使用 Security Advisories 來協(xié)調(diào)漏洞的披露。你可以與漏洞報告者(如安全研究人員)合作，在公開漏洞詳情之前私下討論并修復(fù)漏洞。Security Advisories 還可以讓漏洞報告者為所發(fā)現(xiàn)的漏洞申請一個 CVE ID，并將它們發(fā)布到國家漏洞數(shù)據(jù)庫(NVD)。

依賴關(guān)系圖

GitHub 的依賴關(guān)系圖分析了倉庫的 go.mod 文件，以了解倉庫的依賴關(guān)系。依賴關(guān)系圖與安全公告一起，提供了提醒開發(fā)者注意漏洞依賴關(guān)系所需的信息。

依賴關(guān)系圖對于公共倉庫是默認啟用的，但對于私有倉庫來說，你必須手動啟用它。為了幫助防止新的漏洞被引入，開發(fā)者可以在審查拉取請求時使用依賴性審查來查看對你的 go.mod 文件修改的影響。

Dependabot 警報

GitHub 還在這次更新中加入了 Dependabot，當 Go 模塊中發(fā)現(xiàn)新的漏洞時，它會向開發(fā)者發(fā)出通知。通知設(shè)置也得到了升級，以便用戶對想收到的通知類型進行微調(diào)。

Dependabot 安全更新

Dependabot 安全更新可以通過拉動請求，自動將有漏洞的 Go 模塊升級到?jīng)]有漏洞的版本。根據(jù) GitHub 的調(diào)查，自動生成拉動請求以更新有漏洞的依賴關(guān)系的軟件庫比不生成拉動請求的軟件庫快40%。

Google Go 語言產(chǎn)品負責人 Steve Francia 表示：“GitHub 是最受歡迎的開源 Go 模塊托管平臺。宣布的新功能不僅可以幫助 GitHub 用戶，還可以幫助任何依賴 GitHub 托管模塊的開發(fā)者。我們很高興 GitHub 在這方面進行的投資，使整個生態(tài)系統(tǒng)受益，我們期待著在未來與他們進行更多的合作。“

Go 模塊于 2019 年推出，旨在改善依賴性管理。根據(jù) Go Developer Survey 在 2020 年的調(diào)查顯示，有 76% 的受訪者都將 Go 以某種形式在企業(yè)中應(yīng)用。此外，Go 模塊的采用如今也在持續(xù)增加，96% 的受訪者表示這些模塊被用于進行軟件包管理 —— 而 2019 年則僅有 87% 的受訪者將 Go 模塊用于這些目的。

調(diào)查呈現(xiàn)出來的一個總體趨勢似乎表明，其他軟件包管理工具的使用正在不斷減少。而對 Go 模塊的改善也將提升行業(yè)整體安全性。

本文轉(zhuǎn)自O(shè)SCHINA

本文標題：鑒于 Go 語言的熱門程度，GitHub 提高了 Go 模塊的供應(yīng)鏈安全性

本文地址：https://www.oschina.net/news/152491/github-boosts-security-for-go-modules