繼日前宣布完成 2000 萬(wàn)美元的 A 輪融資后，開源代碼掃描工具 Socket 緊接著宣布新增了對(duì) Go 語(yǔ)言的支持；此前其僅支持 JavaScript 和 Python 語(yǔ)言。

“在過(guò)去的幾個(gè)月中，我們觀察到針對(duì) Golang 的供應(yīng)鏈攻擊有所增加。意識(shí)到這種迫在眉睫的威脅后，我們知道是時(shí)候?qū)?Socket 已經(jīng)驗(yàn)證的主動(dòng)式防護(hù)引入 Go 了?！?/p>

Socket 方面還介紹了在添加 Go 支持過(guò)程中所面臨的挑戰(zhàn)：

• 自定義依賴關(guān)系管理：與具有集中式存儲(chǔ)庫(kù)的 npm 或 pip 不同，Go 的 decentralized 方法及其基于 VCS 的依賴項(xiàng)獲取可能更難監(jiān)控。使用 GOPROXY 協(xié)議作為 crutch 的工具將錯(cuò)過(guò)發(fā)布到版本控制系統(tǒng)的最新版本，而這些正是最有可能發(fā)起供應(yīng)鏈攻擊的軟件包。
• No lockfile：go.sum文件不是 lockfile，而是 Go 抵御 VCS 存儲(chǔ)庫(kù)和模塊代理中被劫持的版本標(biāo)記的最后一道防線。雖然它是保持 Go 生態(tài)系統(tǒng)安全的重要組成部分，但僅靠它無(wú)法防止 Go 模塊中的危險(xiǎn)代碼。
• 動(dòng)態(tài)版本控制：Go 模塊的偽版本提供了未標(biāo)記的 commit-based 版本控制，為跟蹤依賴項(xiàng)增加了另一層復(fù)雜性。
• 傳遞依賴關(guān)系：監(jiān)視間接依賴項(xiàng)需要深入了解go.mod 文件和最小版本選擇。安全工具需要了解 Go 模塊解析方案中的潛在漏洞以及通過(guò)傳遞依賴引入的危險(xiǎn)。正如在 npm 生態(tài)系統(tǒng)中看到的那樣，當(dāng)安全工具無(wú)法正確解析使用的依賴項(xiàng)時(shí)，通常會(huì)出現(xiàn)混亂和安全漏洞。

目前其已面向所有客戶提供了 "early access" 階段的測(cè)試特性和功能。主要特點(diǎn)包括：

• 全面分析 go.mod 文件，并根據(jù) go.sum 校驗(yàn)和進(jìn)行驗(yàn)證
• 支持檢測(cè)任何給定項(xiàng)目或包的整個(gè)依賴項(xiàng)生成列表中的已知漏洞
• 監(jiān)控直接和間接依賴關(guān)系
• 模塊替換和排除的兼容性檢查
• 包資源管理器和 Socket 網(wǎng)站搜索
• 在 Socket reports 中列出 Go issues

在接下來(lái)的幾周內(nèi)，預(yù)計(jì)還將推出與 Socket for GitHub 和 Socket for VSCode 集成、增強(qiáng) Go 模塊支持、改進(jìn) AI 驅(qū)動(dòng)的 Go 問(wèn)題檢測(cè)和零日漏洞監(jiān)控等內(nèi)容。

值得一提的是，除了新增對(duì) Go 生態(tài)系統(tǒng)的支持外。Socket 還宣布了一個(gè)用于在下載前檢查開源包是否安全的瀏覽器擴(kuò)展，目前可用于 Chrome、Edge、Brave 和任何其他基于 Chromium 的瀏覽器以及 Firefox；并推出了一個(gè)付費(fèi)增值功能，可以深入研究整個(gè)組織的代碼庫(kù)，以便隨時(shí)查找任何依賴項(xiàng)。