Komuniti bahasa pengaturcaraan Go kini sedang membincangkan kebimbangan keselamatan yang halus tetapi signifikan melibatkan pemilih variasi Unicode dalam konvensyen penamaan fail, terutamanya bagaimana ia boleh dieksploitasi untuk memintas sistem pengesanan fail ujian Go.
Kelemahan Keselamatan
Satu perbincangan kritikal telah timbul mengenai bagaimana pengkompil Go mengendalikan fail dengan aksara Unicode khas, terutamanya dalam fail ujian. Walaupun Go biasanya melangkau fail yang berakhir dengan _test.go semasa kompilasi biasa, terdapat kelompangan yang membimbangkan yang membolehkan penyerang memanipulasi nama fail menggunakan pemilih variasi Unicode untuk mencipta fail yang kelihatan seperti fail ujian tetapi sebenarnya dikompil ke dalam program utama.
Perlindungan Sistem Modul
Menurut komen Russ Cox, sistem modul Go menyediakan beberapa perlindungan terhadap kelemahan ini. Walaupun pakej tempatan boleh dicipta dan dibina dengan pemilih variasi Unicode (seperti U+FE0E) dalam nama fail, sistem modul menghalang penciptaan atau muat turun modul yang mengandungi aksara sedemikian. Ini bermakna vektor serangan terhad kepada repositori peringkat teratas dan tidak boleh menjejaskan dependencies.
Kelemahan Keadaan Global
Perbincangan ini juga telah menyoroti kebimbangan keselamatan yang lebih luas dalam seni bina Go. Seperti yang ditunjukkan dalam maklum balas komuniti, pakej dengan keadaan global yang kritikal dari segi keselamatan dan boleh diubah secara global menimbulkan kelemahan yang ketara. Contoh yang ketara ialah (crypto/rand).Reader dalam pustaka standard, yang boleh ditulis ganti dengan mana-mana nilai io.Reader. Walaupun isu ini telah dibincangkan di GitHub, penyelenggara bahasa telah memilih untuk tidak melaksanakan pembetulan secara langsung, dengan hujah bahawa perubahan sedemikian mungkin hanya memberikan ilusi keselamatan.
Kesan dan Mitigasi
Implikasi keselamatan kelemahan ini amat membimbangkan kerana:
- Kebanyakan alat pembangunan (termasuk Vim, VSCode, dan platform hos kod utama) tidak menunjukkan dengan jelas kehadiran aksara khas ini
- Semakan kod mungkin terlepas pandang manipulasi halus ini
- Kod berniat jahat boleh kelihatan seperti kod ujian yang sah sambil dikompil ke dalam program utama
Walaupun sistem modul Go menyediakan beberapa perlindungan, organisasi perlu mempertimbangkan untuk melaksanakan amalan semakan kod tambahan dan alat yang boleh mengesan pemilih variasi Unicode dalam nama fail, terutamanya untuk kod repositori peringkat teratas.
Status Semasa
Walaupun telah dilaporkan kepada platform hos kod utama seperti GitHub, GitLab, dan BitBucket, tiada satu pun yang mengklasifikasikan ini sebagai isu keselamatan. Pasukan keselamatan Go (security@golang.org) juga tidak memberi respons kepada laporan mengenai kelemahan ini, mencadangkan bahawa komuniti mungkin perlu mengambil langkah tambahan untuk menangani kebimbangan keselamatan ini.