La herramienta de escaneo de código fuente abierto Socket agrega compatibilidad con el idioma Go

News 2023-08-06 12:47:49 views: null

Tras el reciente anuncio de la finalización de una ronda de financiamiento Serie A de $20 millones, la herramienta de escaneo de código fuente abierto Socket anunció que agregó soporte para el lenguaje Go; anteriormente solo admitía los lenguajes JavaScript y Python.

"En los últimos meses, hemos observado un aumento en los ataques a la cadena de suministro contra Golang. Al darnos cuenta de esta amenaza inminente, supimos que era hora de llevar las defensas proactivas comprobadas de Socket a Go " .

Socket también describe  los desafíos que se enfrentan al agregar soporte para Go :

  • Administración de dependencias personalizadas: a diferencia de npm o pip con repositorios centralizados, el enfoque descentralizado de Go y su búsqueda de dependencias basada en VCS pueden ser más difíciles de monitorear. Las herramientas que usan el protocolo GOPROXY como muleta perderán la última versión publicada en el sistema de control de versiones, y estos son los paquetes que tienen más probabilidades de lanzar un ataque a la cadena de suministro.
  • Sin archivo de bloqueo:go.sum el archivo no es un archivo de bloqueo, sino la última línea de defensa de Go contra los marcadores de versión secuestrados en los repositorios de VCS y los proxies de módulos. Si bien es una parte importante para mantener seguro el ecosistema de Go, por sí solo no puede evitar el código peligroso en los módulos de Go.
  • Control de versiones dinámico: el control de versiones de los módulos de Go proporciona un control de versiones basado en confirmaciones sin etiquetas, lo que agrega otra capa de complejidad al seguimiento de las dependencias.
  • Dependencias transitivas: el monitoreo de las dependencias indirectas requiere un conocimiento profundo de los archivos y una selección mínima de versiones. Las herramientas de seguridad deben comprender las vulnerabilidades potenciales en el esquema de resolución de módulos de Go y los peligros introducidos a través de las dependencias transitivas. Como se ve en el ecosistema npm, la confusión y los agujeros de seguridad a menudo surgen cuando las herramientas de seguridad no resuelven adecuadamente las dependencias utilizadas.go.mod 

Actualmente ofrece funciones y funciones beta en la fase de "acceso anticipado" a todos los clientes. Las características clave incluyen:

  • Los archivos se analizan go.mody go.sumverifican por completo con sumas de verificación
  • Admite la detección de vulnerabilidades conocidas en toda la lista de compilación de dependencias para cualquier proyecto o paquete dado
  • Supervisar las dependencias directas e indirectas
  • Comprobaciones de compatibilidad para sustituciones y exclusiones de módulos
  • Explorador de paquetes y búsqueda de sitios de sockets
  • Enumerar los problemas de Go en los informes de Socket

En las próximas semanas, espere ver integraciones adicionales con Socket para GitHub y Socket para VSCode, compatibilidad mejorada con el módulo Go, detección mejorada de  problemas de Go impulsada por IA y monitoreo de vulnerabilidades de día cero.

Cabe mencionar que, además de agregar  soporte para el ecosistema Go. Socket también anunció una extensión de navegador para comprobar la seguridad de los paquetes de código abierto antes de descargarlos, actualmente disponible para Chrome, Edge ;, Brave y cualquier otro navegador basado en Chromium, así como Firefox

Supongo que te gusta

Origin www.oschina.net/news/252543/socket-go-funding
Recomendado
Clasificación
Diario
Más
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)

Code World

© 2018 codetd.com