Vulnerabilidades ponen en riesgo módulos Go

Fuentes: Go Modules' Integrity at Risk Due to Code Host Vulnerabilities

La integridad de los módulos Go, un sistema crucial para la gestión de paquetes en el lenguaje de programación Go, se encuentra en riesgo debido a vulnerabilidades en los servicios de alojamiento de código como GitHub. El sistema de Go Modules, que garantiza que todos los desarrolladores utilicen la misma versión de un módulo, depende de una base de datos de sumas de comprobación (Checksum Database). Sin embargo, la posibilidad de 'force-push' en repositorios de alojamiento y la falta de verificación en la interfaz web de GitHub permiten ataques como el 'typosquatting', donde se reemplaza código legítimo con versiones maliciosas. Aunque existen soluciones como el comando go mod verify y servicios alternativos como pkg.geomys.dev que ofrecen una visualización más segura del código, la dependencia de pkg.go.dev, que en ocasiones enlaza a código no verificado, sigue siendo un problema. La comunidad está trabajando en mejoras, incluyendo la verificación de la integridad de los archivos descargados directamente desde los repositorios y la corrección de la configuración CORS en proxy.golang.org. Se recomienda evitar el uso directo de repositorios y configurar GOPROXY=proxy.golang.org para reducir la superficie de ataque.