DEV Community

Pallat Anchaleechamaikorn
Pallat Anchaleechamaikorn

Posted on

govulncheck

หลายๆคนคงจะรู้อยู่แล้วว่า Go ได้นำเสนอตัว Go Vulnerability Check ออกมาเมื่อเดือน September 2022 แล้วก็คงมีคนได้ลองบ้างแล้ว วันนี้ก็เลยอยากจะเอาประเด็นน่าสนใจมาเล่าต่อเล็กน้อย เนื่องจากพอได้ลองใช้งานแล้วเห็น report ของมัน หน้าตาประมาณนี้

Image description

ซึ่งโดยปกติมันจะ scan ตัว code และ dependencies ของเราไปเทียบกับ database ที่ทางทีม Go Security Team ดูแลอยู่ แล้วมันจะบอกเราว่าให้ upgrade lib ที่มีปัญหาไปใช้ version ไหนดี

ตรงจุดนี้ เหมือนมาย้ำเตือนเราว่า อย่านิ่งนอนใจ อย่าปล่อยให้ Go version มันเก่า เพราะไม่ใช่ว่ามัน works แล้วจะปลอดภัย เพราะคุณกำลังอยู่กับช่องโหว่ที่เขาเจอกันมาตลอดทุกคืนที่คุณดองมันไว้

ถึงอย่างไรก็ดี เจ้า tools ตัวนี้มันยังไม่สมบูรณ์นะครับ ยังอยู่ในช่วงทดสอบ และพัฒนา แต่ก็สามารถใช้งานได้บ้าง เพราะฉะนั้น ยังควรใช้ tools ที่เราใช้กันอยู่เดิมร่วมด้วยไปก่อนเช่น gosec เป็นต้น

ข้อที่ยังไม่สมบูรณ์เท่าที่อ่านมาก็เช่น

  • scan ได้เฉพาะ go 1.18 ขึ้นไป
  • ถ้า upgrade go version ไปแล้ว มันจะไม่ย้อนไปเช็ค version ของ dependencies ที่อยู่ใน version ก่อนนี้ให้เช่น ถ้าเราไปใช้ 1.19 แล้ว แต่ lib เราเขียนด้วย 1.18 มันจะไม่เช็คให้ (ไม่แน่ใจว่าแก้ไขหรือยัง)

หวังว่าจะเป็นประโยชน์ครับ

Top comments (0)