# Dependencies Vulnerabilities Scan for Go

>This article in Bahasa, are you looking for English language? Google Translate is your friend, or simply click [here](https://blog-mhrdn-com.translate.goog/dependencies-vulnerabilities-scan-for-golang?_x_tr_sl=id&_x_tr_tl=en&_x_tr_hl=id).

### Latar Belakang
Go atau Golang merupakan bahasa pemrograman yang cukup *hype* dikalangan *software developer*. *Portable*, *concurrency*, dan *microservices* adalah kata yang selalu terdengar jika ada pembicaraan tentang bahasa pemrograman ini. Semua bahasa pemrograman *open source* yang *hype*, biasanya memiliki banyak dependensi yang dibagikan secara terbuka. Hal ini menjadi menjadi pedang bermata dua ketika absennya *package/library manager* yang sebenernya sangat diperlukan untuk meningkatkan kemudahan dan tingkat konsistensi *package/library*. Untungnya saat ini sudah ada ***go modules*** yang menjembatani itu semua. Meskipun demikian, belum ada tools mumpuni yang bisa digunakan untuk menyisir celah keamanan pada *package/library* yang kita gunakan.

Sonatype mungkin melihat hal yang sama dengan *nodejs universe* bisa saja terjadi pada go. Dimana *package* yang dibagikan pada nodejs memiliki *dependency inception*, yaitu *package* yang bergantung pada *package* lain. Bayangkan jika *package* yang bergantung dengan *package* lain tersebut memiliki celah keamanan, besar kemungkinan akan memiliki celah keamanan yang sama. "*Tool to check for vulnerabilities in your Golang dependencies, powered by Sonatype OSS Index*" begitulah deskripsi singkat yang tertulis pada halaman [nancy](https://github.com/sonatype-nexus-community/nancy).

![nancy-go.png](https://cdn.hashnode.com/res/hashnode/image/upload/v1638948067461/EAWILRzzM.png)

### Aplikasi dan Penggunaan
Penggunaan tools ini cukup mudah dan bisa saya katakan cukup *CI friendly*. Saya mengatakan demikian karena nancy ini lolos beberapa kriteria yang saya gunakan ketika memilih sebuah tools pendukung **DevSecOps**. Saya mencoba melakukan pemindaian ke salah satu repositories open source yang cukup sering saya gunakan. Hasilnya **nancy** selesai melakukan pemindaian kurang dari 10 detik.

### Kesimpulan
*Supply chain attack* biasanya terjadi saat perusahaan yang membangun sebuah aplikasi menggunakan dependensi *opensource* dan tidak melakukan audit pada library yang digunakan. Nancy adalah alat bantu yang dapat mengurangi resiko pada *Supply chain attack*. 
