Seguridad

Esta página proporciona recursos para que los desarrolladores de Go mejoren la seguridad de sus proyectos.

(Ver también: Mejores prácticas de seguridad para Desarrolladores de Go.)

Encuentra y corrige vulnerabilidades conocidas

La detección de vulnerabilidades de Go tiene como objetivo proporcionar herramientas confiables y silenciosas para que los desarrolladores conozcan las vulnerabilidades conocidas que pueden afectar sus proyectos. Para obtener una descripción general, comienza en este resumen y página de preguntas frecuentes sobre la arquitectura de gestión de vulnerabilidades de Go. Para conocer un enfoque aplicado, explora las herramientas siguientes.

Escanea el código en busca de vulnerabilidades con govulncheck

Los desarrolladores pueden usar la herramienta govulncheck para determinar si alguna vulnerabilidad conocida afecta su código y priorizar los próximos pasos en función de qué funciones y métodos vulnerables se llaman realmente.

• Ver la documentación de govulncheck
• Tutorial: Comienza con govulncheck ⬀

Detecta vulnerabilidades desde tu editor

La extensión VS Code Go verifica las dependencias de terceros y descubre vulnerabilidades relevantes.

• Documentación de usuario
• Descargar VS Code Go
• Tutorial: Comienza con VS Code Go ⬀

Encuentra módulos de Go para desarrollar

Pkg.go.dev es un sitio web para descubrir, evaluar y aprender más sobre los paquetes y módulos de Go. Al descubrir y evaluar paquetes en pkg.go.dev, verás un banner en la parte superior de una página si hay vulnerabilidades en esa versión. Además, puedes ver las vulnerabilidades que afectan a cada versión de un paquete en la página del historial de versiones.

Explora la base de datos de vulnerabilidades

La base de datos de vulnerabilidades de Go recopila datos directamente de los mantenedores de paquetes de Go, así como de fuentes externas como MITRE y GitHub. Los informes son seleccionados por el equipo de Go Security.

• Examinar informes en la base de datos de vulnerabilidades de Go
• Ver la documentación de Go Vulnerability Database
• Contribuir con una vulnerabilidad pública a la base de datos ⬀

Reportar errores de seguridad en el proyecto Go

Política de Seguridad

Consulta la Política de seguridad para obtener instrucciones sobre cómo informar una vulnerabilidad en el proyecto Go. La página también detalla el proceso del equipo de seguridad de Go para rastrear problemas y revelarlos al público. Consulta el historial de versiones ⬀ para obtener detalles sobre correcciones de seguridad anteriores. Según la política de lanzamiento ⬀, publicamos correcciones de seguridad para los dos principales lanzamientos más recientes de Go.

Prueba entradas inesperadas con fuzzing

Go native fuzzing proporciona un tipo de test automatizado que manipula continuamente las entradas de un programa para encontrar errores. Go admite fuzzing en su cadena de herramientas estándar a partir de Go 1.18. Los tests de Native Go fuzz son respaldados por OSS-Fuzz.

• Revisa los conceptos básicos del fuzzing
• Tutorial: Comienza con el fuzzing ⬀

Servicios seguros con las bibliotecas de criptografía de Go

Las bibliotecas de criptografía de Go tienen como objetivo ayudar a los desarrolladores a crear aplicaciones seguras. Consulta la documentación de paquetes criptográficos y golang.org/x/crypto/.