Go 1.27 rc1 與 1.26.4 修補安全問題
Google 釋出 Go 1.27 rc1 與 Go 1.26.4,帶來安全修補與 telemetry 指引。這波更新涵蓋 MIME、x509、x/net、x/crypto 等常用元件。
Google 釋出 Go 1.27 rc1 與 Go 1.26.4,這波更新補上多項安全問題,也同步提醒開發者測試 RC 與檢查 telemetry 設定。
Google 在 2026 年 6 月 18 日推出 Go 1.27 release candidate 1,並在 6 月 2 日發布 Go 1.26.4 與 Go 1.25.11。前者讓團隊先驗證新分支,後者則把安全修補帶回仍在維護中的版本線。
| 項目 | 數值 |
|---|---|
| Go 1.27 RC1 發布日 | 2026/06/18 |
| Go 1.26.4 / 1.25.11 發布日 | 2026/06/02 |
| Go telemetry 狀態 | Opt-in、open、anonymous |
| Go 1.26.4 核心安全修補 | 3 項 |
| x/net 安全問題 | 5 項 |
| x/crypto 安全問題 | 6 項以上 |
發生了什麼
訂閱 AI 趨勢週報
每週精選模型發布、工具應用與深度分析,直送信箱。不定期,不騷擾。
不會寄垃圾信,隨時可取消。
這次更新分成兩條線:一條是新版本候選,另一條是舊版本維護。Go 1.27 rc1 可以透過一般下載頁取得,也能用 go install golang.org/dl/go1.27rc1@latest 再執行 go1.27rc1 download 安裝。
Google 也放出草案版 release notes,並請測試者把生產流量、單元測試與異常案例都跑過一輪。若在 RC 期間抓到問題,官方希望直接透過 Go tracker 回報,讓修正能趕上正式版。
舊分支則同步收到維護更新。Go 1.26.4 與 Go 1.25.11 一共修了 3 項核心工具鏈安全問題,相關的 golang.org/x/sys、golang.org/x/net、golang.org/x/crypto 也各自更新。
修補範圍很實際,幾乎都碰到日常服務會用到的路徑。包括 MIME header 解碼、net/textproto 錯誤輸出、crypto/x509 hostname 檢查,還有 HTML 解析、XSS、idna 權限、SSH panic、constraint 處理與記憶體洩漏。
- MIME header 在惡意輸入下不再出現平方級 CPU 消耗。
- textproto 錯誤訊息不再直接帶入攻擊者控制的原始文字。
- x509 hostname 檢查改為一次切分候選主機名,降低成本。
- x/net 與 x/crypto 補上多個安全缺口,涵蓋解析與 SSH 路徑。
這波更新也把 telemetry 再次推到檯面上。官方說明它是 opt-in、open、anonymous,並提到像 gopls 這類工具蒐集到的資料,已經用在先前的修正與調校。
為什麼重要
對開發者來說,這不是語言新功能的新聞,而是升級風險管理。只要你的服務會解析 MIME、驗證憑證、處理 SSH 或依賴 x/* 套件,這些修補就可能直接影響 production 的穩定性與攻擊面。
對團隊流程來說,RC 的價值在於把真實負載提早搬上來測。Go 的節奏一向是先在 x/* 模組與 point release 補洞,再讓整個生態系決定依賴鎖定、CI 更新與 minor version 升級時點,這次也一樣。
和等到正式版才反應相比,現在就測 Go 1.27 rc1,能更早看出相容性問題與效能回歸。對還卡在舊版的專案,Go 1.26.4 與 1.25.11 則提供一條更直接的補洞路徑。
這次的訊號很清楚:先測 RC,再補點版,最後決定 telemetry 要不要開。你現在的 Go 供應鏈,真的已經跟上這一輪安全更新了嗎?