Golangで依存パッケージの脆弱性を調査するならNancyがおすすめ
概要
- Goで使用する外部パッケージが安全かどうかを調べる時にオススメなのが、nancyです。
- ちなみにnancyとは、Sonatype OSS Indexを利用して、Golangの依存関係の脆弱性をチェックするツールです。
- nancyではdepまたはgo modの依存関係を調査してくれます。
導入方法
- install方法
> brew tap sonatype-nexus-community/tap
> brew install nancy
試す
- helpを見てみる
- 見てみると、引数にGopkg.lockまたは、go.sumのpathを指定してあげるようです。
❯ nancy --help
Usage:
nancy [options] </path/to/Gopkg.lock>
nancy [options] </path/to/go.sum>
Options:
-noColor
indicate output should not be colorized
-version
prints current nancy version
- 試しに、goのsample projectで試してみたいと思います。
- cloneしたsample => https://github.com/golang/example
❯ go list -m all | nancy go.sum
[1/3] golang/golang.org/x/[email protected] No known vulnerabilities against package/version...
[2/3] golang/golang.org/x/[email protected] No known vulnerabilities against package/version...
[3/3] golang/golang.org/x/[email protected] No known vulnerabilities against package/version...
Audited dependencies: 3, Vulnerable: 0
> brew tap sonatype-nexus-community/tap
> brew install nancy
- helpを見てみる
- 見てみると、引数にGopkg.lockまたは、go.sumのpathを指定してあげるようです。
❯ nancy --help
Usage:
nancy [options] </path/to/Gopkg.lock>
nancy [options] </path/to/go.sum>
Options:
-noColor
indicate output should not be colorized
-version
prints current nancy version
- 試しに、goのsample projectで試してみたいと思います。
- cloneしたsample => https://github.com/golang/example
❯ go list -m all | nancy go.sum
[1/3] golang/golang.org/x/[email protected] No known vulnerabilities against package/version...
[2/3] golang/golang.org/x/[email protected] No known vulnerabilities against package/version...
[3/3] golang/golang.org/x/[email protected] No known vulnerabilities against package/version...
Audited dependencies: 3, Vulnerable: 0
Author And Source
この問題について(Golangで依存パッケージの脆弱性を調査するならNancyがおすすめ), 我々は、より多くの情報をここで見つけました https://qiita.com/yoshii0110/items/19f32417152c5bbfb597著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .