查找易受攻击和恶意的依赖项
大型复杂的项目通常有许多第三方依赖项,通过扩展常见库和框架的功能来提高生产力。
然而,依赖第三方代码会引发安全问题,因为这可能涉及在项目中使用存在漏洞的依赖项。
捆绑的 GoLand 软件包检查器 插件由 https://www.mend.io/jetbrains-lp/?utm_source=JetBrains 提供支持。 该插件会分析依赖项的已知漏洞。 它允许您通过检索有关易受攻击依赖项的信息并将其更新到最新发布版本来处理此类情况。
易受攻击的依赖项
在编辑器中修复易受攻击的依赖项
在编辑器中打开 go.mod 。
IDE 会突出显示被认为易受攻击的依赖项。
将光标放在突出显示的依赖项上,然后按 Alt+Enter 查看建议的修复。 它们可能建议更新到安全版本、访问 Mend.io 网站以了解特定漏洞的更多信息,或 忽略 该漏洞。
导航到易受攻击软件包的声明
GoLand 现在不仅会在 go.mod 文件中高亮显示具有已知安全问题的软件包导入项,也会在常规 Go 文件中进行高亮显示。
将鼠标悬停在高亮显示的导入项上,以查看关于安全问题的信息。
点击 导航到依赖项声明 链接。 或者,点击高亮显示的依赖项,按下 Alt+Enter ,然后选择 导航到依赖项声明。
分析代码以查找所有易受攻击的依赖项
此外,您可以运行检查以显示项目中所有已声明和导入的易受攻击依赖项列表。
在主菜单中,导航到 。
结果显示在 易受攻击的依赖项 选项卡的 问题 工具窗口中( 或 Alt+6)。
您可以看到每个漏洞的严重程度指示。 点击特定依赖项,以查看在该依赖项中发现的漏洞的详细信息。
忽略漏洞
忽略的漏洞会被添加到检查设置中的列表中。 如有需要,您可以与团队中的其他成员共享此列表中的配置文件。
在编辑器中打开 go.mod ,将光标放在突出显示的依赖项上,然后按 Alt+Enter。
从建议列表中选择 忽略存在漏洞的<dependency name and version> ,在打开的对话框中选择忽略此依赖项的原因。 点击 忽略。
要访问忽略漏洞的列表,请按 Ctrl+Alt+S 打开 IDE 设置,然后选择 。 展开 安全性 节点并点击 易受攻击的声明依赖项。 列表位于检查详情的 选项 部分。
了解如何从 在电脑之间同步配置文件 共享检查配置文件。
报告误报
如果您认为被识别为漏洞的依赖项是安全的,您可以报告误报。
在 问题 工具窗口( 或 Alt+6 )中的 易受攻击的依赖项 选项卡上点击某个依赖项以打开其描述。
找到您要报告的漏洞,然后点击 报告误报。
您将看到一条确认通知。
恶意依赖项
软件包检查器 插件具有 恶意依赖项 检查功能,可检测项目中声明的恶意 NPM 和 PyPI 依赖项。 修复报告的问题可以防止您的软件被攻击者破坏。
显示恶意依赖项
打开一个声明了 NPM 或 PyPI 依赖项的文件。
IDE 会突出显示被认为是恶意的依赖项。
建议您移除检测到的依赖项。 恶意依赖项数据由 Mend.io 提供。
在提交时查找恶意依赖项
按 Alt+0 打开 提交 工具窗口,然后点击 显示提交选项
。启用 检查恶意依赖项 选项。
配置安全检查
您可以更改 严重性 ,启用和禁用 安全性 检查,并在设置中配置问题高亮显示。