Go Modüllerinin Kaynağını Güvenle İncelemek

Go ekosistemi, Go Checksum Database sayesinde paket bütünlüğü konusunda benzersiz bir güvenlik seviyesi sunar. Bu veritabanı, bir Go modülünün belirli bir sürümünün kriptografik özetini (hash) ilk kullanıldığında kaydeder ve bu sayede tüm Go istemcilerinin aynı kaynağı kullanmasını garanti eder. Merkezi olmayan yapısına rağmen, bu sistem modül yazarlarının anahtar yönetimi yapmasını gerektirmeden yüksek güvenlik sağlar ve bir şeffaflık günlüğü (transparency log) olarak çalışarak veritabanı operatörünün (Google bile olsa) girişleri değiştirmesini veya gizlemesini engeller.

Ancak, bu güçlü zincirde bir zayıf halka bulunmaktadır: kodun doğrudan kod barındırma servislerinden (örneğin GitHub) okunması. GitHub gibi platformlar, git etiketlerinin zorla güncellenmesine (force-push) izin verdiği için, bir modülün web arayüzünde gösterilen kodu ile Go araçları tarafından kullanılan gerçek içeriği arasında farklılıklar olabilir. Geçtiğimiz yıl, bu durum bir typosquatting saldırısında kullanılarak, kötü niyetli kod içeren sahte bir BoltDB modülünün gerçekte ne olduğunun anlaşılmasını zorlaştırdı. Saldırganlar, başlangıçta kötü amaçlı kodu yayınlayıp ardından GitHub'a masum kodu zorla yükleyerek, web arayüzünün doğrulanmamış doğasından faydalandılar.

Bu tür güvenlik açıklarını gidermek için, modülleri yerel olarak incelerken go mod download komutunu kullanarak doğru kaynağı indirmek önerilir. Ayrıca, Go Checksum Database'e karşı yerel git depolarının içeriğini doğrulamak için go mod verify -tag gibi yeni komutlar üzerinde çalışılmaktadır. pkg.go.dev gibi popüler platformlar hala doğrulanmamış kod kaynaklarına bağlantı verse de, Russ Cox'un go-mod-viewer.appspot.com ve yeni pkg.geomys.dev gibi servisler, Go modüllerinin doğrulanmış kaynak kodunu güvenli bir şekilde görüntüleme imkanı sunarak bu soruna çözüm getirmektedir.