本文永久链接 – https://tonybai.com/2026/03/14/go-sumdb-transparent-logs-supply-chain-trust 大家好,我是Tony Bai。 在 Go 语言的日常开发中,go get 是我们最熟悉的命令之一。我们理所当然地认为,只要指定了版本号,从 GitHub 或其他代码托管平台拉取下来的代码就是安全、一致的。然而,现实却远比这脆弱——Git 的 Tag 是可变的。攻击者可以发布一个带有后门的 v1.2.3 版本,在诱导受害者下载后,再通过 Force-push 将其替换为干净的代码,从而在代码审查的眼皮底下“瞒天过海”。 ...
本文永久链接 – https://tonybai.com/2025/07/07/go-module-supply-chain-attack-case 大家好,我是Tony Bai。 最近,GitLab的安全研究团队披露了一起极其巧妙的供应链攻击,目标直指 Go 社区中一个流行的 MongoDB 模块。这个案例本身已经足够令人警醒,但如果我们拨开攻击手法的层层迷雾,会发现其背后暴露出的,可能是整个开源生态,包括我们所依赖的 Go Modules,一个根本性的、与生俱来的脆弱性。 ...
2019年对于Go语言来说也是一个重要的年份,因为在2019年的11月10日,Go即将迎来其开源10周年的纪念日。在这个重要日子的前夕,在GopherCon 2019大会后,Go项目组在2019.9.4日发布了Go 1.13版本。 这是自2017年GopherCon大会上Russ Cox做“Toward Go 2″主题演讲以来Go项目发布的第四个版本(前三个分别是:go 1.10、go 1.11和go 1.12)。 ...