本文永久链接 – https://tonybai.com/2022/03/19/for-range-vs-classic-for-loop-when-iterating-large-array

Go语言推崇“一件事情仅有一个作法”！比如：Go仅保留一类循环控制语句，那就是经典版的for loop：

for i := 0; i < 100; i++ {
    ... ...
}

而像C语言支持的while、do…while等循环控制语句都被排除在Go简洁的语法之外。但为了方便Go开发者对复合数据类型的迭代，比如：数组、切片、channel以及map等，Go提供了一个变种for range loop，甚至对于map、channel进行遍历，仅能使用for range loop，经典版for loop根本不支持。

不过for range 带来了方便的同时，也给Go初学者带来了一些烦恼，比如：for range迭代复合类型变量时就有一些常见的且十分容易掉入的“坑”，这些“坑”我在《Go语言第一课》中有全面详细的讲解。这里为了给后面的内容做铺垫，只提一个for range的坑，那就是参与循环的是range表达式的副本。

我们来看一个专栏中的例子：

func main() {
    var a = [5]int{1, 2, 3, 4, 5}
    var r [5]int

    fmt.Println("original a =", a)

    for i, v := range a {
        if i == 0 {
            a[1] = 12
            a[2] = 13
        }
        r[i] = v
    }

    fmt.Println("after for range loop, r =", r)
    fmt.Println("after for range loop, a =", a)
}

大家来猜猜这段代码会输出什么结果？你是不是觉得这段代码会输出如下结果：

original a = [1 2 3 4 5]
after for range loop, r = [1 12 13 4 5]
after for range loop, a = [1 12 13 4 5]

但实际运行该程序的输出结果却是：

original a = [1 2 3 4 5]
after for range loop, r = [1 2 3 4 5]
after for range loop, a = [1 12 13 4 5]

我们原以为在第一次迭代过程，也就是i = 0时，我们对a的修改 (a[1] =12,a[2] = 13) 会在第二次、第三次迭代中被v取出，但从结果来看，v 取出的依旧是a被修改前的值：2和3。

为什么会是这种情况呢？原因就是参与for range循环的是range表达式的副本。也就是说，在上面这个例子中，真正参与循环的是a的副本，而不是真正的a。

为了方便你理解，我们将上面的例子中的for range循环，用一个等价的伪代码形式重写一下：

for i, v := range a' { //a'是a的一个值拷贝
    if i == 0 {
        a[1] = 12
        a[2] = 13
    }
    r[i] = v
}

现在真相终于揭开了：这个例子中，每次迭代的都是从数组a的值拷贝a’中得到的元素。a’是Go临时分配的连续字节序列，与a完全不是一块内存区域。因此无论a被如何修改，它参与循环的副本a’依旧保持原值，因此v从a’中取出的仍旧是a的原值，而不是修改后的值。

好了，问题来了(来自专栏的一位童鞋的留言)！

这位童鞋的核心问题就一个：对于大型数组，由于参与for range的是该数组的拷贝，那么使用for range是不是会比经典for loop更耗资源且性能更差？

我们通过benchmark例子来验证一下：针对大型数组，for range是不是一定就比经典for loop跑得更慢？我们先看第一个例子：

// benchmark1_test.go

package main

import "testing"

func BenchmarkClassicForLoopIntArray(b *testing.B) {
    b.ReportAllocs()
    var arr [100000]int
    for i := 0; i < b.N; i++ {
        for j := 0; j < len(arr); j++ {
            arr[j] = j
        }
    }
}

func BenchmarkForRangeIntArray(b *testing.B) {
    b.ReportAllocs()
    var arr [100000]int
    for i := 0; i < b.N; i++ {
        for j, v := range arr {
            arr[j] = j
            _ = v
        }
    }
}

在这个例子中，我们分别用for loop与for range对一个拥有10w个int类型元素的数组进行遍历，我们看看benchmark的结果：

// Go 1.18rc1, MacOS
$go test -bench . benchmark1_test.go
goos: darwin
goarch: amd64
cpu: Intel(R) Core(TM) i5-8257U CPU @ 1.40GHz
BenchmarkClassicForLoopIntArray-8          22080         55124 ns/op           0 B/op          0 allocs/op
BenchmarkForRangeIntArray-8                34808         34433 ns/op           0 B/op          0 allocs/op
PASS
ok      command-line-arguments  3.321s

从输出结果我们看到：for range loop非但未受到large array拷贝操作的影响，其性能居然比for range loop的性能还要好，这显然是在编译器层面(通常是静态单一赋值，即SSA环节)做了优化的结果。

我们关闭优化开关，再运行一下压测：

$go test -c -gcflags '-N -l' .
$./demo.test -test.bench .
goos: darwin
goarch: amd64
pkg: demo
cpu: Intel(R) Core(TM) i5-8257U CPU @ 1.40GHz
BenchmarkClassicForLoopIntArray-8           6248        187773 ns/op           0 B/op          0 allocs/op
BenchmarkForRangeIntArray-8                 4768        246512 ns/op           0 B/op          0 allocs/op
PASS

我们看到：在没有优化的情况下，两种loop的性能都大幅下降，并且for range下降更多，性能显著不如经典for loop。你可以对比一下BenchmarkForRangeIntArray函数在正常优化(go tool compile -S xxx.go)以及关闭优化时(go tool compile -S -N -l)的汇编代码片段，你会发现关闭优化后，汇编代码使用了很多中间变量存储中间结果，而优化后的代码则消除了这些中间状态。

那么接下来你可能会提出这样一个问题：是不是for range迭代任何元素类型的大型数组，其性能都不比经典for loop差呢？我们来看一个对结构体数组遍历的例子：

// benchmark3_test.go
package main

import "testing"

type U5 struct {
    a, b, c, d, e int
}
type U4 struct {
    a, b, c, d int
}
type U3 struct {
    b, c, d int
}
type U2 struct {
    c, d int
}
type U1 struct {
    d int
}

func BenchmarkClassicForLoopLargeStructArrayU5(b *testing.B) {
    b.ReportAllocs()
    var arr [100000]U5
    for i := 0; i < b.N; i++ {
        for j := 0; j < len(arr)-1; j++ {
            arr[j].d = j
        }
    }
}
func BenchmarkClassicForLoopLargeStructArrayU4(b *testing.B) {
    b.ReportAllocs()
    var arr [100000]U4
    for i := 0; i < b.N; i++ {
        for j := 0; j < len(arr)-1; j++ {
            arr[j].d = j
        }
    }
}
func BenchmarkClassicForLoopLargeStructArrayU3(b *testing.B) {
    b.ReportAllocs()
    var arr [100000]U3
    for i := 0; i < b.N; i++ {
        for j := 0; j < len(arr)-1; j++ {
            arr[j].d = j
        }
    }
}
func BenchmarkClassicForLoopLargeStructArrayU2(b *testing.B) {
    b.ReportAllocs()
    var arr [100000]U2
    for i := 0; i < b.N; i++ {
        for j := 0; j < len(arr)-1; j++ {
            arr[j].d = j
        }
    }
}

func BenchmarkClassicForLoopLargeStructArrayU1(b *testing.B) {
    b.ReportAllocs()
    var arr [100000]U1
    for i := 0; i < b.N; i++ {
        for j := 0; j < len(arr)-1; j++ {
            arr[j].d = j
        }
    }
}

func BenchmarkForRangeLargeStructArrayU5(b *testing.B) {
    b.ReportAllocs()
    var arr [100000]U5
    for i := 0; i < b.N; i++ {
        for j, v := range arr {
            arr[j].d = j
            _ = v
        }
    }
}
func BenchmarkForRangeLargeStructArrayU4(b *testing.B) {
    b.ReportAllocs()
    var arr [100000]U4
    for i := 0; i < b.N; i++ {
        for j, v := range arr {
            arr[j].d = j
            _ = v
        }
    }
}

func BenchmarkForRangeLargeStructArrayU3(b *testing.B) {
    b.ReportAllocs()
    var arr [100000]U3
    for i := 0; i < b.N; i++ {
        for j, v := range arr {
            arr[j].d = j
            _ = v
        }
    }
}
func BenchmarkForRangeLargeStructArrayU2(b *testing.B) {
    b.ReportAllocs()
    var arr [100000]U2
    for i := 0; i < b.N; i++ {
        for j, v := range arr {
            arr[j].d = j
            _ = v
        }
    }
}
func BenchmarkForRangeLargeStructArrayU1(b *testing.B) {
    b.ReportAllocs()
    var arr [100000]U1
    for i := 0; i < b.N; i++ {
        for j, v := range arr {
            arr[j].d = j
            _ = v
        }
    }
}

在这个例子中，我们定义了5种结构体：U1~U5，它们的不同之处就在于包含的int类型字段的个数不同。我们分别用经典for loop与for range loop对以这些类型为元素的大型数组进行遍历，看看结果如何：

$go test -bench . benchmark3_test.go
goos: darwin
goarch: amd64
cpu: Intel(R) Core(TM) i5-8257U CPU @ 1.40GHz
BenchmarkClassicForLoopLargeStructArrayU5-8        22030         54116 ns/op           0 B/op          0 allocs/op
BenchmarkClassicForLoopLargeStructArrayU4-8        22131         54145 ns/op           0 B/op          0 allocs/op
BenchmarkClassicForLoopLargeStructArrayU3-8        22257         54001 ns/op           0 B/op          0 allocs/op
BenchmarkClassicForLoopLargeStructArrayU2-8        22063         54580 ns/op           0 B/op          0 allocs/op
BenchmarkClassicForLoopLargeStructArrayU1-8        22105         54408 ns/op           0 B/op          0 allocs/op
BenchmarkForRangeLargeStructArrayU5-8               3022        391232 ns/op           0 B/op          0 allocs/op
BenchmarkForRangeLargeStructArrayU4-8               4563        265919 ns/op           0 B/op          0 allocs/op
BenchmarkForRangeLargeStructArrayU3-8               6602        182224 ns/op           0 B/op          0 allocs/op
BenchmarkForRangeLargeStructArrayU2-8              10000        111966 ns/op           0 B/op          0 allocs/op
BenchmarkForRangeLargeStructArrayU1-8              35380         34005 ns/op           0 B/op          0 allocs/op
PASS
ok      command-line-arguments  15.907s

我们看到一个奇怪的现象：无论是哪种结构体类型，经典for loop遍历的性能都是一样的，但for range的遍历性能却会随着结构体字段数量的增多而下降。

带着疑惑，我找到了与这个问题有关的一个issue：cmd/compile: optimize large structs，这个issue大致是说对于包含特定数量字段的结构体类型，目前是unSSAable，如果不能SSA，那么就无法通过SSA优化，这也是出现上述benchmark结果的重要原因。

在Go中，几乎所有使用数组的地方都可以用切片替代，笔者还是建议尽量用迭代切片替换对数组的迭代，这样总是可以取得一致且稳定的遍历性能。

“Gopher部落”知识星球旨在打造一个精品Go学习和进阶社群！高品质首发Go技术文章，“三天”首发阅读权，每年两期Go语言发展现状分析，每天提前1小时阅读到新鲜的Gopher日报，网课、技术专栏、图书内容前瞻，六小时内必答保证等满足你关于Go语言生态的所有需求！2022年，Gopher部落全面改版，将持续分享Go语言与Go应用领域的知识、技巧与实践，并增加诸多互动形式。欢迎大家加入！

我爱发短信：企业级短信平台定制开发专家 https://tonybai.com/。smspush : 可部署在企业内部的定制化短信平台，三网覆盖，不惧大并发接入，可定制扩展； 短信内容你来定，不再受约束, 接口丰富，支持长短信，签名可选。2020年4月8日，中国三大电信运营商联合发布《5G消息白皮书》，51短信平台也会全新升级到“51商用消息平台”，全面支持5G RCS消息。

著名云主机服务厂商DigitalOcean发布最新的主机计划，入门级Droplet配置升级为：1 core CPU、1G内存、25G高速SSD，价格5$/月。有使用DigitalOcean需求的朋友，可以打开这个链接地址：https://m.do.co/c/bff6eed92687 开启你的DO主机之路。

Gopher Daily(Gopher每日新闻)归档仓库 – https://github.com/bigwhite/gopherdaily

我的联系方式：

• 微博：https://weibo.com/bigwhite20xx
• 微信公众号：iamtonybai
• 博客：tonybai.com
• github: https://github.com/bigwhite
• “Gopher部落”知识星球：https://public.zsxq.com/groups/51284458844544

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。

本文永久链接 – https://tonybai.com/2022/03/14/software-supply-chain-security-in-go

在Go 12岁生日以及Go 1.18 beta1发布的博文中，Go核心团队技术负责人Russ Cox都提到了2022年Go团队将关注Go软件供应链安全，并在Go中为软件供应链提供相关工具。

提到供应链，我们立马想到的它是制造业的存在，在软件开发领域中很少提及。但是近几年，软件领域安全问题频发，使得“供应链”一词在软件开发领域浮出水面，逐渐成为热词。那么，到底啥是软件供应链呢？Go对软件供应链安全的支持现状又是怎样的呢？本文我就来简单梳理一下。

1. 什么是软件供应链？

怎么理解软件供应链呢？

传统供应链的概念可以理解为一个由各种组织、人员、技术、活动、信息和资源组成的将商品或服务从供应商转移到消费者手中的过程，这一过程从原材料开始，将其加工成中间组件乃至最终转移到消费者手中的最终产品。参考这一概念，软件供应链可以理解为软件和系统的从生产到交付全过程，是一套自动化、标准化及规模化的持续交付的流水线。通过设计和开发阶段，将生产完成的软件产品通过软件交付渠道从软件供应链运输给最终用户。

如今，人们最关心的就是软件供应链的安全问题。根据软件供应链的定义，软件供应链安全可以被理解为软件生产的整个过程中软件设计与开发的各个阶段来自编码过程、工具、设备、供应商以及最终交付渠道所共同面临的安全问题。

那究竟有哪些安全问题呢？作为专注于设计与实现的开发人员，我们更加专注于编码构建这一环节。在确定安全问题之前，我们先将前面的软件供应链的广义理解抛开，建立一个更为狭义的理解，即将软件供应链单纯视为以商业组件与开源组件等第三方组件的供应链条。在这一狭义的理解下，我们再来探讨安全问题的来由。

在开源软件兴起之前，一个公司开发出的软件大多数都是经由公司招募的专职开发者一行一行码出来的，语言标准库、C运行时库、系统原生库等集成在编程语言工具和OS层面的组件除外。

开源软件兴起后，无论是大厂巨头，还是小厂初创，都会基于大量的开源软件包来构建自己的产品。这些开源软件包呈现出多样化、复杂化的趋势。并且涉及的领域也十分广泛：从应用级库/包、开发工具、到中间件、到数据库、甚至操作系统以及设备固件。据Forrester 2021年发布的报告数据显示，开源代码占软件代码的比例从2015年到2019年的五年时间内几乎翻了一倍，如下图。

2020年，这一比例更是上升到75%。

开源软件包、组件与工具的广泛采用让企业的开发效率大幅提升的同时，也让软件供应链的风险不断增加。风险主要体现在下面几个方面：

• 安全风险

开源软件正在呈现指数级增长。根据美国国家计算机安全中心(NCSC)公开的数据显示由世界最大的源代码管理平台GitHub托管的公共存储库数量从2009年2月的46000个激增到2020年1月的2800万个。由于开源软件之间的关联依赖关系变得日益复杂，开发人员很难对其依赖的开源包/组件的所有依赖链上的包/组件做出安全评估，这样一旦依赖链上的某一开源包/组件出现未知的安全漏洞，将会导致所有与之存在依赖关系的其他软件系统出现同样的漏洞，漏洞的攻击面将会由点及面呈现出爆炸式的放大效果。并且，即便很快发现安全漏洞，开源软件包的问题修复时间也较长，一般多在1天到一周甚至更多。甚至存在具有非法目的开发者故意预留后门的安全缺陷，攻击者通过将恶意代码注入为全球软件供应链提供组件的开源项目中，借助开源软件的“高信任度”和影响力，通过感染软件供应链的“上游”组件加速向“下游”扩散，从而产生更大的破坏性。

• 知识产权风险

主要体现在对开源许可证的理解与是否在许可证的要求下使用开源软件包/组件。一旦误用，便会给企业带来知识产权上的风险，甚至风险发生，导致企业的真实损失。

• 断供风险

由于国际政治原因以及大国博弈，一些大国通过实行严密的技术封锁，建立完善的出口管制法律制度体系，将本国的软件、硬件和技术列入出口管制清单，这回直接导致软件供应链的完整性遭遇严重的挑战。目前在我国，这已经是发生过的事实了。

对于聚焦系统实现环节的开发者而言，安全风险始终是主要考虑的供应链风险。那么，通过哪些手段可以降低软件供应链的安全风险呢？我们继续向下看。

2. 软件供应链的安全风险控制

在软件供应链风险控制这方面，不得不说，软件强国美国走在了世界的前面：

• 美国政府在2008年颁布《国家网络安全综合倡议》（CNCI），要求在产品、系统和服务的整个生命周期内综合应对国内和全球供应链风险。
• 2009年奥巴马政府发布的《美国网络空间安全政策评估报告》将ICT供应链安全纳入国家安全范畴。
• 2012年，美国国土安全部发布首个国家层级的战略报告《全球供应链安全国家战略》，提出安全和高效两大目标。
• 2013年，美国国家标准和技术研究院（NIST）发布《联邦信息系统与机构供应链风险管理实践》。
• 2016年，国家网络安全促进委员会发布《加强国家网络安全—促进数字经济的安全与发展》。
• 2017年，美国国土安全部发布《供应链风险管理计划》
• 2018年，美国白宫发布《联邦信息技术供应链风险管理改进法案》。
• 2019年，特朗普签署《确保信息通信技术与服务供应链安全》行政令，禁止交易、使用可能对美国的国家安全、外交政策和经济构成特殊威胁的外国信息技术和服务。
• 2021年，美国商务部发布《确保信息和通信技术及服务供应链安全》的最新规则生效，对美国国家或公民构成不可接受之风险的外国对手的信息通信技术和服务(ICTS)交易所进行识别、评估和风险消除程序，从而决定是否禁止交易。
• 2021年5月12日，美国总统拜登发布《关于改善国家网络安全的行政命令》的14028号政令，明确要求联邦政府采取行动，迅速提高软件供应链的安全性和完整性。

我们重点关注一下2021年拜登的《关于改善国家网络安全的行政命令》行政令，该行政令的大多内容都致力于提高软件供应链的安全性，并特别要求政府软件应包含机器可读的软件物料清单(Software Bill Of Materials, SBOM)。

什么是SBOM？它被定义为“包含构建软件使用的各种组件的详细信息和供应链关系的正式记录”。它不仅应该详细说明交付的组件，还应该详细说明用于交付软件的工具和框架。SBOM是开启软件开发透明和开放时代的基础。通过机器可读的SBOM，软件的消费者可以得知哪个版本的软件包可能会影响其产品的安全性，而无需依赖软件供应商的安全警报与补丁，并且基于SBOM，消费者能够实施自己的安全控制方案，这些控制方案还可以自动化执行。SBOM使得整个行业在享受开源带来的便利和效率的同时，还可以对安全风险进行更为有效的控制与治理。

美国国家电信和信息管理局(NITA)在14028号政令的要求下，在2021年7月12日发布了《SBOM的最低要素》，该文档为各开发工具的组织和厂商提供了SBOM数据格式的参考。

软件供应链安全的上下文的铺垫有些长！下面我们来聚焦一下Go，看看Go语言在降低软件供应链安全风险方面都提供了哪些支持。

3. Go对软件供应链安全的支持情况

在GOPATH时代，Go即便想在降低软件供应链安全方面为开发者提供一些帮助可能也做不好，甚至是做不到。但Go module的引入扭转了这个局面。

从1.13版本开始，Go命令在构建Go应用时会将其依赖的module版本信息嵌入到可执行程序中，同时从1.13版本开始，我们可以通过go version -m命令读取这些嵌入在可执行文件中的应用的module依赖信息。下面是一个例子：

// sbom1.go

package main

import (
    "time"

    "go.uber.org/zap"
)

func main() {
    logger, _ := zap.NewProduction()
    defer logger.Sync()
    url := "http://tonybai.com"
    logger.Info("failed to fetch URL",
        // Structured context as strongly typed Field values.
        zap.String("url", url),
        zap.Int("attempt", 3),
        zap.Duration("backoff", time.Second),
    )
}

使用[Go 1.13, Go 1.17]集合中的Go版本编译上述例子后，可以通过go version -m读取依赖module列表信息：

// 基于go 1.13.6编译sbom1.go
$go build sbom1.go

// 读取依赖module列表信息
$go version -m sbom1
sbom1: go1.13.6
    path    command-line-arguments
    mod demo1   (devel)
    dep go.uber.org/atomic  v1.7.0  h1:ADUqmZGgLDDfbSL9ZmPxKTybcoEYHgpYfELNoN+7hsw=
    dep go.uber.org/multierr    v1.6.0  h1:y6IPFStTAIT5Ytl7/XYmHvzXQ7S3g/IeZW9hyZ5thw4=
    dep go.uber.org/zap v1.21.0 h1:WefMeulhovoZ2sYXz7st6K0sLj7bBhpiFaud4r4zST8=

我们看到：读取的列表信息中不仅包含了sbom1.go的直接依赖module的版本信息，还包括了zap包的传递依赖的module的版本信息，也就是说通过这份信息，我们可以看到sbom1的所有第三方依赖的版本，换句话说对于sbom1的使用者而言，sbom1的构成信息是公开透明的。

如果使用[go 1.11, go 1.12]集合中的Go版本编译上述例子，使用go 1.13及以上版本的go version -m查看可执行文件的依赖module信息是不会成功的：

$go version -m sbom1
sbom1: could not read Go build info from sbom1: not a Go executable

上述嵌入到可执行文件中的依赖module列表信息，就是SBOM的一部分。当然按照上面提到的美国行政令对SBOM的要求：不仅应该详细说明交付的组件，还应该详细说明用于交付软件的工具和框架，仅嵌入这些信息还不够。

于是Go 1.18版本又扩展了嵌入以及可被go version -m读取的信息范围，我们使用go 1.18rc1版本编译上面的sbom1.go并用go version -m读取得到的结果如下：

// go 1.18rc1
$go build sbom1.go
$go version -m sbom1
sbom1: go1.18rc1
    path    command-line-arguments
    dep go.uber.org/atomic  v1.7.0  h1:ADUqmZGgLDDfbSL9ZmPxKTybcoEYHgpYfELNoN+7hsw=
    dep go.uber.org/multierr    v1.6.0  h1:y6IPFStTAIT5Ytl7/XYmHvzXQ7S3g/IeZW9hyZ5thw4=
    dep go.uber.org/zap v1.21.0 h1:WefMeulhovoZ2sYXz7st6K0sLj7bBhpiFaud4r4zST8=
    build   -compiler=gc
    build   CGO_ENABLED=1
    build   CGO_CFLAGS=
    build   CGO_CPPFLAGS=
    build   CGO_CXXFLAGS=
    build   CGO_LDFLAGS=
    build   GOARCH=amd64
    build   GOOS=darwin
    build   GOAMD64=v1

我们看到应用程序的构建信息也被嵌入到最终的可执行文件中了。

当然，除了通过go version命令可以读取Go应用的SBOM信息外，Go还在标准库中提供了API用于读取Go应用可执行文件中嵌入的SBOM信息，看下面例子：

// readsbom.go
package main

import (
    "debug/buildinfo"
    "fmt"
)

func main() {
    info, err := buildinfo.ReadFile("./sbom1")
    if err != nil {
        fmt.Println("read buildinfo error:", err)
        return
    }

    fmt.Printf("%#v\n\n", info)
    for _, d := range info.Deps {
        fmt.Printf("%#v\n", *d)
    }
}

运行这段例子：

$go run readsbom.go
&debug.BuildInfo{GoVersion:"go1.18rc1", Path:"command-line-arguments", Main:debug.Module{Path:"", Version:"", Sum:"", Replace:(*debug.Module)(nil)}, Deps:[]*debug.Module{(*debug.Module)(0xc000026180), (*debug.Module)(0xc0000261c0), (*debug.Module)(0xc000026200)}, Settings:[]debug.BuildSetting{debug.BuildSetting{Key:"-compiler", Value:"gc"}, debug.BuildSetting{Key:"CGO_ENABLED", Value:"1"}, debug.BuildSetting{Key:"CGO_CFLAGS", Value:""}, debug.BuildSetting{Key:"CGO_CPPFLAGS", Value:""}, debug.BuildSetting{Key:"CGO_CXXFLAGS", Value:""}, debug.BuildSetting{Key:"CGO_LDFLAGS", Value:""}, debug.BuildSetting{Key:"GOARCH", Value:"amd64"}, debug.BuildSetting{Key:"GOOS", Value:"darwin"}, debug.BuildSetting{Key:"GOAMD64", Value:"v1"}}}

debug.Module{Path:"go.uber.org/atomic", Version:"v1.7.0", Sum:"h1:ADUqmZGgLDDfbSL9ZmPxKTybcoEYHgpYfELNoN+7hsw=", Replace:(*debug.Module)(nil)}
debug.Module{Path:"go.uber.org/multierr", Version:"v1.6.0", Sum:"h1:y6IPFStTAIT5Ytl7/XYmHvzXQ7S3g/IeZW9hyZ5thw4=", Replace:(*debug.Module)(nil)}
debug.Module{Path:"go.uber.org/zap", Version:"v1.21.0", Sum:"h1:WefMeulhovoZ2sYXz7st6K0sLj7bBhpiFaud4r4zST8=", Replace:(*debug.Module)(nil)}

我们看到，通过debug/buildinfo包查看到的Go应用的SBOM信息与使用go version -m查到的信息是完全一致的。

当然Go对软件供应链安全的支持措施还不仅这些，有了依赖module列表以及构建信息后，开发者还需要检测工具来检查这些“供应链上的组件”是否有安全风险。Go核心团队已经建立了Go vulnerability(漏洞) database，作为后续检测工具的漏洞数据库源。总体来说，Go核心团队对软件供应链安全提供的支持措施还在进行中(WIP)，以后甚至会在go命令中提供单独的子命令来对供应链上的组件实施检测。

业界也有一些第三方的供应链安全检测工具，比如国内的“悬镜安全”就开源了一款用Go实现的软件组成分析工具OpenSCA-cli，它可基于漏洞数据库对各种语言实现的软件的供应链上的组件进行安全检测。

4. 小结

现在看来，Go之所以积极推动SBOM的落地是因为美国法律的要求。

针对美第14028号行政命令，美国的NIST发布了《开发者验证软件的最低标准指南(Guidelines on Minimum Standards for Developer Verification of Software)》。这份指南建议采取以下措施对软件进行安全验证：
- 威胁建模以寻找设计层面的安全问题
- 自动测试以保证一致性，并最大限度地减少人力投入
- 静态代码扫描，寻找最重要的漏洞
- 启发式工具来寻找可能存在的硬编码密钥
- 使用内置的检查和保护措施
- 使用”黑盒”测试用例
- 基于代码的结构测试用例
- 历史测试用例
- 模糊测试(Fuzzing)
- 网络应用程序扫描器，如果适用的话
- 解决包含的代码（库、包、服务）。

从这里也可以看到Go 1.18加入对Fuzzing的原生支持，看来很大可能也是为了响应这一指南。

5. 参考资料

• 软件供应链安全现状与发展对策 – https://zhuanlan.zhihu.com/p/442772376
• 悬镜安全发布的《2021软件供应链安全白皮书》，关注公众号iamtonybai，发送关键字“2021软件供应链”即可获得该白皮书。
• Thoughtworks雷达25期 – https://www.thoughtworks.com/content/dam/thoughtworks/documents/radar/2021/10/tr_technology_radar_vol_25_cn.pdf

“Gopher部落”知识星球旨在打造一个精品Go学习和进阶社群！高品质首发Go技术文章，“三天”首发阅读权，每年两期Go语言发展现状分析，每天提前1小时阅读到新鲜的Gopher日报，网课、技术专栏、图书内容前瞻，六小时内必答保证等满足你关于Go语言生态的所有需求！2022年，Gopher部落全面改版，将持续分享Go语言与Go应用领域的知识、技巧与实践，并增加诸多互动形式。欢迎大家加入！

我爱发短信：企业级短信平台定制开发专家 https://tonybai.com/。smspush : 可部署在企业内部的定制化短信平台，三网覆盖，不惧大并发接入，可定制扩展； 短信内容你来定，不再受约束, 接口丰富，支持长短信，签名可选。2020年4月8日，中国三大电信运营商联合发布《5G消息白皮书》，51短信平台也会全新升级到“51商用消息平台”，全面支持5G RCS消息。

著名云主机服务厂商DigitalOcean发布最新的主机计划，入门级Droplet配置升级为：1 core CPU、1G内存、25G高速SSD，价格5$/月。有使用DigitalOcean需求的朋友，可以打开这个链接地址：https://m.do.co/c/bff6eed92687 开启你的DO主机之路。

Gopher Daily(Gopher每日新闻)归档仓库 – https://github.com/bigwhite/gopherdaily

我的联系方式：

• 微博：https://weibo.com/bigwhite20xx
• 微信公众号：iamtonybai
• 博客：tonybai.com
• github: https://github.com/bigwhite
• “Gopher部落”知识星球：https://public.zsxq.com/groups/51284458844544

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。