Komunitas bahasa pemrograman Go saat ini sedang membahas masalah keamanan yang halus namun signifikan terkait Unicode variation selectors dalam konvensi penamaan file, khususnya bagaimana hal tersebut dapat dieksploitasi untuk melewati sistem deteksi file pengujian Go.
Kerentanan Keamanan
Sebuah diskusi penting telah muncul seputar bagaimana kompiler Go menangani file dengan karakter Unicode khusus, terutama dalam file pengujian. Sementara Go biasanya melewati file yang berakhiran _test.go selama kompilasi normal, terdapat celah yang mengkhawatirkan yang memungkinkan penyerang memanipulasi nama file menggunakan Unicode variation selectors untuk membuat file yang tampak seperti file pengujian tetapi sebenarnya dikompilasi ke dalam program utama.
Perlindungan Sistem Modul
Menurut komentar Russ Cox, sistem modul Go menyediakan beberapa perlindungan terhadap kerentanan ini. Meskipun paket lokal dapat dibuat dan dibangun dengan Unicode variation selectors (seperti U+FE0E) dalam nama file, sistem modul mencegah pembuatan atau pengunduhan modul yang mengandung karakter tersebut. Ini berarti vektor serangan terbatas pada repositori tingkat atas dan tidak dapat mempengaruhi dependensi.
Kerentanan State Global
Diskusi ini juga menyoroti masalah keamanan yang lebih luas dalam arsitektur Go. Seperti yang ditunjukkan dalam umpan balik komunitas, paket dengan state global yang bersifat kritis terhadap keamanan dan dapat diubah secara global menimbulkan kerentanan yang signifikan. Contoh yang menonjol adalah (crypto/rand).Reader dalam pustaka standar, yang dapat ditimpa dengan nilai io.Reader apa pun. Meskipun masalah ini telah didiskusikan di GitHub, para pengelola bahasa memilih untuk tidak menerapkan perbaikan langsung, dengan argumen bahwa perubahan tersebut mungkin hanya memberikan ilusi keamanan.
Dampak dan Mitigasi
Implikasi keamanan dari kerentanan ini sangat mengkhawatirkan karena:
- Sebagian besar alat pengembangan (termasuk Vim, VSCode, dan platform hosting kode utama) tidak secara jelas menunjukkan keberadaan karakter khusus ini
- Tinjauan kode mungkin melewatkan manipulasi halus ini
- Kode berbahaya dapat tampak sebagai kode pengujian yang sah sementara dikompilasi ke dalam program utama
Meskipun sistem modul Go menyediakan beberapa perlindungan, organisasi harus mempertimbangkan untuk menerapkan praktik dan alat tinjauan kode tambahan yang dapat mendeteksi Unicode variation selectors dalam nama file, terutama untuk kode repositori tingkat atas.
Status Terkini
Meskipun telah dilaporkan ke platform hosting kode utama seperti GitHub, GitLab, dan BitBucket, tidak ada yang mengklasifikasikan ini sebagai masalah keamanan. Tim keamanan Go (security@golang.org) juga belum menanggapi laporan tentang kerentanan ini, menunjukkan bahwa komunitas mungkin perlu mengambil langkah tambahan untuk mengatasi masalah keamanan ini.