脆弱で悪意のある依存関係を見つける

エディター内の脆弱な依存関係を修正

1. エディターで go.mod を開きます。

   IDE は脆弱であると見なされる依存関係をハイライトします。

2. ハイライト表示された依存関係にキャレットを置き、 Alt+Enter を押すと、提案された修正が表示されます。 安全なバージョンへのアップデート、 Mend.io(英語) Web サイトにアクセスして特定の脆弱性の詳細を確認する、または脆弱性を 無視することが提案される場合があります。

脆弱なパッケージの宣言に移動する

GoLand は、既知のセキュリティ問題のあるパッケージからのインポートを go.mod ファイルだけでなく、通常の Go ファイルでもハイライトできるようになりました。

1. ハイライトされたインポートにマウスを移動すると、セキュリティの問題に関する情報が表示されます。

2. 依存関係の宣言に移動する リンクをクリックします。 または、ハイライトされた依存関係をクリックし、 Alt+Enter を押して 依存関係の宣言に移動する を選択します。

   

コードを分析して脆弱な依存関係をすべて見つける

さらに、インスペクションを実行して、プロジェクトで宣言およびインポートされたすべての脆弱性のある依存関係のリストを表示できます。

• メインメニューで、 コード | コードの解析 | 脆弱性のある依存関係 に移動します。

結果は、 問題 ツールウィンドウ (表示 | Tool Windows | 問題 または Alt+6) の 脆弱性のある依存関係 タブに表示されます。

それぞれの脆弱性について、重大度の指標を確認できます。 特定の依存関係をクリックすると、その依存関係で見つかった脆弱性に関する詳細情報が表示されます。

脆弱性を無視する

無視された脆弱性は、インスペクション設定のリストに追加されます。 必要に応じて、このリストを含むプロファイルをチームの他のメンバーと共有できます。

1. エディターで go.mod を開き、ハイライトされた依存関係にキャレットを置いて、 Alt+Enter を押します。

2. 提案のリストから 脆弱な <dependency name and version> を無視する を選択し、開いたダイアログで依存関係を無視する理由を選択します。 無視 をクリックします。

   

無視された脆弱性のリストにアクセスするには、 Ctrl+Alt+S を押して IDE 設定を開き、 エディター | インスペクション を選択します。 セキュリティ ノードを展開し、 脆弱な宣言済みの依存関係 をクリックします。 このリストは、インスペクションの詳細の オプション セクションにあります。

コンピューター間でプロファイルを同期する からインスペクションプロファイルを共有する方法を学びます。

脆弱と特定された依存関係が安全であると思う場合は、誤検知として報告できます。

1. 問題 ツールウィンドウ (表示 | Tool Windows | 問題 または Alt+6) の 脆弱性のある依存関係 タブで依存関係をクリックして、その説明を開きます。

2. 報告する脆弱性を見つけて、「誤検知の報告 」をクリックします。

   確認の通知が表示されます。

悪意のある依存関係を表示する

• NPM または PyPI の依存関係が宣言されているファイルを開きます。

  IDE は悪意があると見なされる依存関係をハイライトします。

検出された依存関係を削除することをお勧めします。 悪意のある依存関係データは Mend.io(英語) によって提供されています。

コミット時に悪意のある依存関係を見つける

1. Alt+0 を押して コミット ツールウィンドウを開き、 コミットオプションを表示 をクリックします。

2. 悪意のある依存関係を確認 オプションを有効化します。

設定で、 セキュリティ インスペクションの 重大度を変更したり、有効化 / 無効化したり、問題のハイライトを構成したりできます。

1. Ctrl+Alt+S を押して設定を開き、 エディター | インスペクション を選択します。

2. 右側のオプションから、 セキュリティ ノードを選択し、インスペクションの名前を選択します。

   必要に応じて、 重大度 、範囲、 ハイライトを変更します。 「OK 」をクリックして変更を保存します。