URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 128387
[ Назад ]
Исходное сообщение
"В инструментарий для языка Go добавлена возможность отслеживания уязвимостей в модулях"
Отправлено opennews , 08-Сен-22 14:43 
В инструментарии для языка программирования Go реализована возможность отслеживания уязвимомостей в библиотеках. Для проверки своих проектов на наличие в зависимостях модулей с неисправленными уязвимостями предложена утилита  "govulncheck", которая анализирует кодовую базу проекта и выводит отчёт об обращении к уязвимым функциям. Дополнительно  подготовлен пакет vulncheck, предоставляющий API для встраивания проверки в различные проекты и утилиты...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57751

Содержание
Сообщения в этом обсуждении
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Аноним , 08-Сен-22 14:43 
Вот Гугл сейчас потренировался на Go выпускать языки программирования. И на скиллах выпустит новый быстрый и безопасный язык Карбон. И всё будет топово.  
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Аноним , 08-Сен-22 14:44 
быстрый, дерзкий...
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено АнонимкаРастуимка , 08-Сен-22 14:50 
как раст?
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено dullish , 08-Сен-22 15:01 
Премерзкий.
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Аноним , 10-Сен-22 12:34 
Дурно коммерческий...
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Менеджер по поддержке иенеджера , 08-Сен-22 18:07 
у него пакетный репазиторий, как и у Go, будет через централизованный сервис. - будет DRM, как и у Go
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Аноним , 08-Сен-22 22:27 
Опеннетовцы зрят в корень.
Один только недостаток, не понимают смысла того на что значит, о чем пишут и что пишут.

Какое отношение digital rights management имеет к репозиториию пакетов?

"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Аноним , 08-Сен-22 22:28 
*смысла того на что зрят.
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Аноним , 08-Сен-22 22:31 
Смысл в свободной среде разработке, если она имеется. Использовать анальные зонды - себч не уважать.
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Аноним , 08-Сен-22 22:34 
Вы нейросеть которая составляет фразу из наиболее вероятных токенов?
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Аноним , 10-Сен-22 12:34 
Или человек - из верных ощущений.
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Менеджер по поддержке иенеджера , 09-Сен-22 07:47 
> Какое отношение digital rights management имеет к репозиториию пакетов?

такое, что например в Крыму, без Tor или VPN (которые запрещены) - ты получаешь 503 если пытаешься скачать что-то через 'go get'

"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Менеджер по поддержке иенеджера , 09-Сен-22 08:00 
>> Какое отношение digital rights management имеет к репозиториию пакетов?
> такое, что например в Крыму, без Tor или VPN (которые запрещены) -
> ты получаешь 503 если пытаешься скачать что-то через 'go get'

*403

"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Аноним , 09-Сен-22 08:05 
Какое отношение digital rights management имеет к блокировке Крыма?
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Менеджер по поддержке иенеджера , 09-Сен-22 08:31 
> Какое отношение digital rights management имеет к блокировке Крыма?

блокировка на уровне proxy.golang.org

"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Брат Анон , 09-Сен-22 07:43 
Подтягиваю из гитхаба свою либу. Все норм. Централизованного репозитория не наблюдаю, контрольные суммы моих либ совпадают.

ЧЯДНТ?!...

"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Менеджер по поддержке иенеджера , 09-Сен-22 07:56 
> Подтягиваю из гитхаба свою либу. Все норм. Централизованного репозитория не наблюдаю, контрольные
> суммы моих либ совпадают.
> ЧЯДНТ?!...

https://go.dev/doc/modules/managing-dependencies#proxy_server

When you use Go tools to work with modules, the tools by default download modules from proxy.golang.org

"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено vasya , 09-Сен-22 11:42 
>  by default download modules from proxy.golang.org

by default т.е. можно менять же черех переменные окружения

* GOPROXY = redirects Go module download requests to repository:

* GOPRIVATE = list of paths that must bypass GOPROXY and GOSUMDB and download private modules directly from those VCS repos = значение по-умолчанию для низкоуровневых переменных GONOPROXY и GONOSUMDB, которые обеспечивают более точный контроль над тем, какие модули выбираются через прокси и проверяются с использованием базы данных контрольной суммы.

* GOSUMDB идентифицирует имя и, необязательно, открытый ключ и URL-адрес сервера базы данных для проверки контрольных сумм модулей, которые еще не перечислены в файле go.sum основного модуля.

"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Менеджер по поддержке иенеджера , 10-Сен-22 00:53 
>>  by default download modules from proxy.golang.org

да, можно менять. но если совсем отключить, то не будет проверки аутентичности, а Tor, как я сказал выше, в Крыму заблокирован.

"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено холоп , 10-Сен-22 17:44 
Все это классно... а что уже выпустили до конца допиленный go modules proxy для self instance? Не всегда есть возможность с интернетов модули брать. Да и порочна эта практика.
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Брат Анон , 12-Сен-22 08:45 
> Все это классно... а что уже выпустили до конца допиленный go modules
> proxy для self instance? Не всегда есть возможность с интернетов модули
> брать. Да и порочна эта практика.

Из приватной репы (DMZ) тяну корпоративные либы. Из сети тащу общие либы. Всё работает. Даже по требованию могу SSL сертификат не проверять.
ЧТЯДНТ?!...

"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Менеджер по поддержке иенеджера , 09-Сен-22 08:02 
> Подтягиваю из гитхаба свою либу. Все норм. Централизованного репозитория не наблюдаю, контрольные
> суммы моих либ совпадают.
> ЧЯДНТ?!...

и гитлаб тоже, сам по-себе отдаёт 403 в Крыму и proxy.golang.org отдаёт 403

"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Брат Анон , 12-Сен-22 08:47 
>> Подтягиваю из гитхаба свою либу. Все норм. Централизованного репозитория не наблюдаю, контрольные
>> суммы моих либ совпадают.
>> ЧЯДНТ?!...
> и гитлаб тоже, сам по-себе отдаёт 403 в Крыму и proxy.golang.org отдаёт
> 403

И чьи это проблемы? Го или компрадорской политики мордора? Вы ничего не перепутали?

"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Аноним , 09-Сен-22 00:29 
Cabron же
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Аноним , 08-Сен-22 15:08 
А как же безопасность и нет косяков? А тут оказывается они прям списком... лучше в си https://m.youtube.com/watch?v=cdX8r3ZSzN4
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено vcb , 08-Сен-22 19:54 
https://www.youtube.com/watch?v=1S1fISh-pag write in C ...
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено vcb , 08-Сен-22 20:04 
https://www.youtube.com/watch?v=tas0O586t80 ;D
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Аноним , 08-Сен-22 22:31 
Сколько бы не изобретали смузи-языки для недалёких людей, надёжности, простоты, удобства и стабильности ANSI C ни кому не удалось добиться
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Брат Анон , 09-Сен-22 07:47 
Это про другой язык.

В Го достаточно возможностей отстрелить себе ноги. Ибо это практический язык. А значит в нем достаточно инженерных компромиссов.

"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Lex20 , 08-Сен-22 16:58 
Кроме gcc есть ещё нормальные компиляторы нормального языка? Кто чем компилит?
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Аноним , 08-Сен-22 18:13 
Нас и gcc устраивает.
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено мяя , 08-Сен-22 20:11 
https://github.com/securego/gosec
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Аноним , 08-Сен-22 22:21 
В npm это давно есть
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Аноним , 09-Сен-22 07:38 
В npm проверки интегрированы в сам менеджер пакетов и запускаются сами например при установке
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено аноним228 , 09-Сен-22 04:57 
Не понимаю людей назывющих Go смузи-языком. Go - это макака-язык придуманный с одной целью - чтоб снизить издержки, чтоб инклюзивные персоны могли заменить того белого мужчину в свитере пишущего на JAVA и С++.
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Брат Анон , 09-Сен-22 07:52 
Нет. Go -- это язык решения оперативных задач в рамках интенсивного обмена данными в гетерогенной среде. Его инженерные компромиссы делают его на сколько гибким, на столько же и сложным. Внутренняя простота продиктована правилом "заткнись и пиши код". Это приводит к внешне сложным результатам.

Если уж называть чем-то -- то точно не макака-язык. Он гораздо ближе к стилю "пайп-лего".


"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено vasya , 09-Сен-22 11:58 
> -- то точно не макака-язык.

Это 100% по сравнению с python ад-и-израиль

"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено vasya , 09-Сен-22 11:49 
Пришел в GO из JAVA - он мне показался сложнее из-за другой реализации:
потоков
обработки ошибок и исключений (через defer, recover )
наследования через композицию
неявной реализации интерфейсов
другой реализация рефлексии
отсутсвию генериков (тут на замену надо как-раза в рефлексию или генерацию кода)
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Аноним , 10-Сен-22 12:38 
И ещё он молодой. Со временем что-то добавится, отрихтуется.
И если будет нормальная библиотека (куда чайники просто так не пишут), то может даже и отзывы будут хорошие.
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Аноним , 11-Сен-22 01:40 
генерики уже есть в go1.18, вышедшем в начале года
"В инструментарий для языка Go добавлена возможность отслежив..."
Отправлено Аноним , 09-Сен-22 08:33 
Осталось найти уязвимости