1690218489367.pdf
879.7 KB
❤2🕊1💊1
🔵 عنوان مقاله
"I'm Independently Verifying Go's Reproducible Builds"
🟢 خلاصه مقاله:
** از نسخه Go 1.21، ابزارهای اصلی Go بهصورت Reproducible Builds عرضه میشوند؛ یعنی اگر همان سورس را دوباره بسازید، برای هر هدف مشخص، خروجی دقیقا همسانِ بایتبهبایت تولید میشود و به محیط میزبان وابسته نیست. این مقاله گزارشی از یک راستیآزمایی مستقل است: دریافت سورس از ریلیزهای رسمی، ساخت در محیطهای ایزوله روی میزبانهای متفاوت، تولید ابزارها برای تارگتهای یکسان و مقایسه هشها با یکدیگر و با چکسامهای رسمی. نتیجه نشان میدهد که از Go 1.21 به بعد، Go toolchain طبق وعده قابل بازتولید است. این کار، در کنار انتشار رسمی، اعتماد را افزایش میدهد، ریسک دستکاری در زنجیره تامین نرمافزار را کاهش میدهد و به کاربران امکان میدهد خروجیهای منتشرشده را خودشان مستقلانه راستیآزمایی کنند.
#ReproducibleBuilds #Go #Golang #SupplyChainSecurity #DeterministicBuilds #OpenSource #DevSecOps
🟣لینک مقاله:
https://golangweekly.com/link/176621/web
➖➖➖➖➖➖➖➖
👑 @gopher_academy
"I'm Independently Verifying Go's Reproducible Builds"
🟢 خلاصه مقاله:
** از نسخه Go 1.21، ابزارهای اصلی Go بهصورت Reproducible Builds عرضه میشوند؛ یعنی اگر همان سورس را دوباره بسازید، برای هر هدف مشخص، خروجی دقیقا همسانِ بایتبهبایت تولید میشود و به محیط میزبان وابسته نیست. این مقاله گزارشی از یک راستیآزمایی مستقل است: دریافت سورس از ریلیزهای رسمی، ساخت در محیطهای ایزوله روی میزبانهای متفاوت، تولید ابزارها برای تارگتهای یکسان و مقایسه هشها با یکدیگر و با چکسامهای رسمی. نتیجه نشان میدهد که از Go 1.21 به بعد، Go toolchain طبق وعده قابل بازتولید است. این کار، در کنار انتشار رسمی، اعتماد را افزایش میدهد، ریسک دستکاری در زنجیره تامین نرمافزار را کاهش میدهد و به کاربران امکان میدهد خروجیهای منتشرشده را خودشان مستقلانه راستیآزمایی کنند.
#ReproducibleBuilds #Go #Golang #SupplyChainSecurity #DeterministicBuilds #OpenSource #DevSecOps
🟣لینک مقاله:
https://golangweekly.com/link/176621/web
➖➖➖➖➖➖➖➖
👑 @gopher_academy
www.agwa.name
I'm Independently Verifying Go's Reproducible Builds
Introducing Source Spotter, a Go Checksum Database auditor and Go toolchain reproducer
❤1
🔵 عنوان مقاله
list of the top ten web application security threats in 2025.
🟢 خلاصه مقاله:
امنیت وب در ۲۰۲۵ با ترکیبی از تهدیدهای قدیمی و سطح حملههای جدید تعریف میشود: شکست در کنترل دسترسی، تزریق در SQL/NoSQL/GraphQL، ضعفهای احراز هویت و نشستها، SSRF و پیکربندیهای نادرست همچنان پرتکرارند، در حالی که حملات زنجیرهتأمین (بستههای مخرب، Dependency Confusion، نفوذ به CI/CD) و سوءاستفادههای خودکار و مبتنی بر AI رو به افزایشاند. در معماریهای API-first و میکروسرویس، خطاهایی مثل Broken Object-Level Authorization، Mass Assignment، و Shadow APIها ریسک را بالا میبرند و در فضای ابری، SSRF میتواند به افشای گذرواژههای ابری و تصاحب حساب منجر شود. برای تیمهای Go، هرچند زبان از کلاس بزرگی از باگهای حافظهای جلوگیری میکند، اما خطاهای منطقی، شرایط مسابقه و تنظیمات ناایمن باقی میمانند؛ بنابراین استفاده از احراز هویت قوی (مثل WebAuthn و توکنهای کوتاهعمر)، اصل حداقل دسترسی، چرخش اسرار، تست و اسکن مداوم (fuzzing در Go 1.18+، linters، govulncheck)، مدیریت امن وابستگیها و SBOM، و سختسازی CI/CD با امضا و سیاستگذاری پیشنهاد میشود. این فهرست از سوی Golang Weekly بهعنوان یک چکلیست عملی برای اولویتبندی دفاعها و گفتوگو درباره ریسک در تیمهای توسعه معرفی شده است.
#WebSecurity #AppSec #Golang #APIsecurity #SupplyChainSecurity #DevSecOps #SSRF #OWASP
🟣لینک مقاله:
https://golangweekly.com/link/176898/web
➖➖➖➖➖➖➖➖
👑 @gopher_academy
list of the top ten web application security threats in 2025.
🟢 خلاصه مقاله:
امنیت وب در ۲۰۲۵ با ترکیبی از تهدیدهای قدیمی و سطح حملههای جدید تعریف میشود: شکست در کنترل دسترسی، تزریق در SQL/NoSQL/GraphQL، ضعفهای احراز هویت و نشستها، SSRF و پیکربندیهای نادرست همچنان پرتکرارند، در حالی که حملات زنجیرهتأمین (بستههای مخرب، Dependency Confusion، نفوذ به CI/CD) و سوءاستفادههای خودکار و مبتنی بر AI رو به افزایشاند. در معماریهای API-first و میکروسرویس، خطاهایی مثل Broken Object-Level Authorization، Mass Assignment، و Shadow APIها ریسک را بالا میبرند و در فضای ابری، SSRF میتواند به افشای گذرواژههای ابری و تصاحب حساب منجر شود. برای تیمهای Go، هرچند زبان از کلاس بزرگی از باگهای حافظهای جلوگیری میکند، اما خطاهای منطقی، شرایط مسابقه و تنظیمات ناایمن باقی میمانند؛ بنابراین استفاده از احراز هویت قوی (مثل WebAuthn و توکنهای کوتاهعمر)، اصل حداقل دسترسی، چرخش اسرار، تست و اسکن مداوم (fuzzing در Go 1.18+، linters، govulncheck)، مدیریت امن وابستگیها و SBOM، و سختسازی CI/CD با امضا و سیاستگذاری پیشنهاد میشود. این فهرست از سوی Golang Weekly بهعنوان یک چکلیست عملی برای اولویتبندی دفاعها و گفتوگو درباره ریسک در تیمهای توسعه معرفی شده است.
#WebSecurity #AppSec #Golang #APIsecurity #SupplyChainSecurity #DevSecOps #SSRF #OWASP
🟣لینک مقاله:
https://golangweekly.com/link/176898/web
➖➖➖➖➖➖➖➖
👑 @gopher_academy