模块验证
当go命令下载模块zip文件或go.mod文件进入module缓存,它计算加密哈希并将其与比较已知的值以验证文件未在首次下载以来未更改。如果下载的文件没有正确的哈希,则go命令报告安全错误。
对于go.mod文件,go命令计算文件内容中的哈希值。对于模块zip文件,go命令以确定性顺序计算档案中档案中文件的名称和内容的哈希。哈希不受文件订单,压缩,对齐和其他元数据的影响。请参阅golang.org/x/mod/sumdb/dirhash用于哈希实现细节。
go命令将每个哈希与主模块的go.sum文件进行比较。如果哈希与go.sum中的散列不同,则go命令报告安全错误,并删除下载的文件,而无需将其添加到模块缓存中。
如果不存在go.sum文件,或者如果它不包含下载文件的哈希值,则go命令可以使用checksum数据库验证哈希是公开的模块的全球散列来源。验证哈希后,go命令将其添加到go.sum并在模块缓存中添加下载的文件。如果模块是私有的(由GOPRIVATE 或GONOSUMDB环境变量)或禁用(通过设置GOSUMDB=off),go命令接受哈希并将文件添加到模块缓存,而无需验证它。
模块缓存通常由系统上的所有Go项目共享,每个模块都可能拥有自己的go.sum文件,具有潜在的不同的哈希。为避免需要信任其他模块,请使用主模块的go.sum验证哈希验证哈希值,只要它访问模块缓存中的文件。 zip文件哈希花费昂贵,因此go命令检查与zip文件一起存储的预计算机哈希,而不是重新散列文件。 go mod verify命令可以用于检查zip文件并提取的目录尚未修改以来添加到模块缓存中。
go.sum文件
模块可以在其根目录中具有名为go.sum的文本文件,以及其go.mod文件。go.sum文件包含模块直接和间接依赖项的加密散列。当go命令下载模块.mod或.zip文件到module缓存,它计算哈希并检查哈希匹配主模块的go.sum文件中的相应散列。go.sum如果模块没有依赖关系,或者如果使用replace指令。
在go.sum中的每一行有三个字段由空格分隔:模块路径,一个版本(可能以/go.mod)和哈希。
- 模块路径是哈希属于的模块的名称。
- 版本是哈希属于模块的版本。如果版本以
/go.mod结尾,则散列仅用于模块的go.mod文件;否则,散列是模块的.zip文件中的文件。 - 散列列由算法名称(如
h1)和由冒号分开的Base64编码的加密散列(:)。目前,SHA-256(H1)是唯一受支持的散列算法。如果在将来发现了SHA-256中的漏洞,将为另一种算法添加支持(名为H2等)。
go.sum文件可以包含模块的多个版本的哈希。go命令可能需要从多个版本的依赖关系加载go.mod文件以执行最小版本选择。go.sum也可以包含不再需要的模块版本的哈希(例如,升级后)。 go mod tidy将添加缺少哈希物,并将从go.sum中删除不必要的哈希。
Checksum数据库
校验和数据库是go.sum行的全局源。go命令可以在许多情况下使用它来通过代理或原点服务器来检测不当行为。
校验和数据库允许所有公开可用的模块版本的全局一致性和可靠性。它可以使不受信任的代理可以在没有被忽视的情况下为错误的代码提供服务。它还确保与特定版本关联的位不会从一天到下一个日期更改,即使模块的作者随后在其存储库中改变标记。
校验和数据库由sum.golang.org提供服务,由谷歌运行。它是go.sum行哈希的透明日志(或「Merkle Tree」),由trillian支持的行哈希值。 Merkle树的主要优点是独立审计员可以验证它没有被篡改,所以它比简单的数据库更值得信任。
go命令在提议:安全公共GO Module生态系统中配合检验和数据库使用最初概述的协议。
下表指定了校验和数据库必须响应的查询。对于每个路径,$base是校验和数据库URL的路径部分,$module是一个模块路径,而$version是一个版本。例如,如果校验和数据库URL是https://sum.golang.org,并且客户端正在请求模块golang.org/x/text的记录v0.3.2,客户端将向https://sum.golang.org/lookup/golang.org/x/text@v0.3.2发送 GET请求。
为了避免在不敏感的文件系统服务时避免歧义,$module和$version元素是案例编码通过用感叹号替换每个大写字母,然后替换相应的小写字母。这允许模块example.com/m和example.com/m两者都存储在磁盘上,因为前者被编码为example.com/!m。
由方括号围绕的路径的部分,如 [.p/$W]表示可选值。
| 路径 | 描述 |
|---|---|
$base/latest |
返回最新日志的已签名的编码树描述。此签名的描述是一种注意的形式,该文本是由一个或多个服务器密钥签名的文本可以使用服务器的公钥验证。树描述提供树的大小和树头的哈希。此编码在[golang.org/x/mod/sumdb/tlog#FormatTree](https://pkg.go.dev/golang.org/x/mod/sumdb/tlog#FormatTree) |
$base/lookup/$module@$version |
返回关于$module 在$version的条目的日志记录编号,然后是记录的数据(即,go.sum行$module在$version上,包含记录的符号编码树描述。 |
$base/tile/$H/$L/$K[.p/$W] |
返回日志标题,这是一组构成日志部分的哈希值。每个瓦片在瓷砖级别 $L, $Kth的二维坐标,左侧,带有瓷砖高度$H。可选的.p/$W后缀表示一个只有$W哈希值的部分日志图块。如果找不到部分磁贴,则客户端必须重新返回以获取全部磁贴。 |
$base/tile/$H/data/$K[.p/$W] |
返回/tile/$H/0/$K[.p/$W]中叶窝的记录数据(有文字data路径元素)。 |
如果go命令查询校验和数据库,则第一步是通过/lookup端点检索记录数据。如果在日志中尚未记录模块版本,则校验和数据库将尝试在回复之前从原始服务器获取它。这/lookup数据为此模块版本提供了总和,以及其在日志中的位置,这通知客户端应该获取哪个举证以执行证明。go命令执行「包含」证明(在日志中存在特定的记录)和「一致性」证明(在添加新的Go.Sum之前,树尚未篡改) 主模块的go.sum文件。重要的是,来自/lookup的数据应该永远不应该使用,而无需先对符号树哈希验证并对客户端的签名树哈希的时间表进行身份验证签名的树哈希。
托管箱数据库服务的符号树哈希和新块存储在模块缓存中,因此go命令只需要获取丢失的图块。
go命令不需要直接连接到校验和数据库。它可以通过镜像校验和数据库 来请求模块副本支持上面的协议。这对于私人的公司代理特别有帮助,该公司代理阻止组织外部的请求。
GOSUMDB 环境变量标识要使用和可选的公钥和URL的校验和数据库的名称,如下所示:
GOSUMDB="sum.golang.org"
GOSUMDB="sum.golang.org+<publickey>"
GOSUMDB="sum.golang.org+<publickey> https://sum.golang.org"
go命令知道sum.golang.org的公钥,也是名称sum.golang.google.cn(在中国大陆内提供)连接到sum.golang.org校验和数据库;使用任何其他数据库需要明确给出公钥。 URL默认为https://后跟数据库名称。
GOSUMDB默认为sum.golang.org,Google运行的Go Checksum数据库。查看sum.golang.org/privacy为服务的隐私政策。
如果将GOSUMDB设置为off,或者使用-insecure标志调用go get,则不会查阅校验和数据库,所有无法识别的模块都被接受,以提供所有模块的已验证可重复下载的安全保证。一种更好的方法来绕过特定模块的校验和数据库是使用GOPRIVATE或GOSUMDB 环境变量。有关详细信息,请参阅Private Modules。
go env -w命令可以用于设置这些变量备份go命令调用。
本译文仅用于学习和交流目的,转载请务必注明文章译者、出处、和本文链接
我们的翻译工作遵照 CC 协议,如果我们的工作有侵犯到您的权益,请及时联系我们。
关于 LearnKu
粤公网安备 44030502004330号
推荐文章: