IT 전문 매체 더 레지스터에 따르면, 프로그래밍 언어 고 개발팀이 최근 공개된 고 언어 모듈 패키지 속 취약점을 발표하는 웹사이트를 개설했다.
지금까지 발견된 취약점은 CVE, 깃허브 보안 권고, 관리자의 보고서 등을 참고하여 고 보안팀이 직접 검토하고 선정한 것이다. 이번 프로젝트는 높은 품질의 취약점 데이터베이스 생성 이외에도 몇 가지 장점을 찾아볼 수 있다.
고 언어 개발팀 관계자 줄리 퀴(Julie Qiu)는 고 보안팀의 접근법과 자바스크립트 생태계에서 깃허브의 npm 명령어 인터페이스가 취약점 관리 방식이 다르다고 전했다.
깃허브에 합병되기 이전인 2018년, npm에 감사 명령이라는 기능이 존재했다. 이 덕분에 과거에는 패키지 관리에 npm을 이용하는 앱에서 취약점을 탐지할 수 있었다. 하지만 npm의 감사 기능은 지나치게 많은 허위 경보로 개발자를 방해하여 문제를 일으켰다. 이후 npm이 개선되기는 하였지만 여전히 과민한 취약점 탐지가 문제로 남아 있다.
구글은 현재 고 언어의 수정을 위해서 개발자 두 명의 검토가 필요하도록 절차를 요구한다. 고 언어는 govulncheck 명령어와 취약점을 발표한 웹사이트를 함께 활용해, 사용자가 보다 쾌적하고 신뢰할 수 있는 취약점 관리 방법을 제공한다.
vulncheck 패키지를 이용하면, govulncheck의 기능을 고 API로 추출하여 다른 보안 툴과 함께 활용할 수 있다. 또, govulncheck는 코드베이스를 분석하여 실제로 앱에 영향을 미치는 취약점에 대해서만 경고를 보낸다. 패키지 문서에 따르면 govulncheck는 소스 코드에 정적 분석을 이용하거나 심볼 테이블을 이용하여 애플리케이션에 영향을 줄 수 있는 취약점만 추려낸다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[김대선 칼럼] 생(生)의 찬란한 동행과 사(死)의 품격 있는 갈무리](/news/data/2025/12/31/p1065594030678023_224_h.png)
