供应链攻击的流行目标一直都是流行编程语言的很多包管理系统,如 NPM (JavaScript)、Rubygems (Ruby) 以及 PyPI (Python)。这些系统常年来遭受恶意攻击,攻击者上传恶意包并等待受害者安装。
在今年的 SolarWinds 攻击事件和新型 “依赖混淆“攻击事件后,供应链攻击成为了讨论焦点:攻陷供应链中不太安全的元素,导致更安全的目标遭攻陷。
GitHub 昨日宣布其供应链功能套件现已可用于 Go 编程语言。这包括 GitHub 安全数据库,以及其中包含的 150 多个 Go 建议、Dependabot 警报和更新,以及为易受攻击的依赖项提供警报信息的依赖关系图。
Go 现在是开源托管站点上最流行的 15 种语言之一,这些项目有助于 Go 社区在使用 GitHub 时发现、报告并最终防止其 Go 代码中的安全漏洞。
GitHub 是数以百万计的开源软件项目和开发人员的家园,也正是因为其庞大的规模,公司可以采取任何行动来改善开发人员的使用体验或保护软件免受攻击,因为这些行为都会产生巨大的影响。
因此,GitHub 的公告也是在宣告全世界可以更安全地休息:当在 Go 模块中发现新漏洞时,Dependabot 会自动通知开发人员,然后通过提出拉取请求升级项目中的模块来为您修补漏洞。
通过依赖关系图,您甚至可以知道您的依赖项是否有新发现的漏洞。借助 GitHub 的安全公告功能,您可以私下讨论和协作解决您自己的应用程序中的漏洞,过程无需公开,也无需离开 GitHub。
谷歌 Go 语言产品负责人 Steve Francia 于昨日说:“Go 的创建有一部分是为了解决管理大型软件中依赖关系的问题。GitHub 是开源 Go 模块中最受欢迎的主机。今天宣布的功能不仅会帮助 GitHub 用户,还会帮助到任何依赖 GitHub 托管模块的人。我们很高兴 GitHub 现在的投资有益于整个 Go 生态系统的改进,我们期待未来与他们进行更多合作。”