Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Goから学ぶ脆弱性対応ポリシー
Search
株式会社ビットキー / Bitkey Inc.
PRO
December 07, 2022
Technology
540
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Goから学ぶ脆弱性対応ポリシー
株式会社ビットキー / Bitkey Inc.
PRO
December 07, 2022
More Decks by 株式会社ビットキー / Bitkey Inc.
See All by 株式会社ビットキー / Bitkey Inc.
失敗を経て、Harness Engineering で 大切にしたいことを考える / Learning from Failure: What Matters in Harness Engineering
bitkey
PRO
1
430
AI Adaptable なテストを整える工夫 / Ways to Make Your Tests AI-Adaptable
bitkey
PRO
3
260
人が担う「価値」とは?これからの「QA」とは / Human Value and the Future of Quality Assurance
bitkey
PRO
0
250
キャリア25年目にしてTypeScript に出会うまで - 「型」を通じて振り返るプログラミング言語遍歴 / Meeting TypeScript After 25 Years in Tech - Looking Back at My Programming Language Journey Through "Types"
bitkey
PRO
2
440
AIのために、AIを使った、Effect-TSからの脱却 〜テストを活用した安全なリファクタリングの進め方〜
bitkey
PRO
2
890
Flutter初心者が生成AIで大規模アプリ開発をキャッチアップした工夫 〜元ネイティブエンジニアが実践した、技術転換の高速道路〜 / Flutter with LLM: A Former Native Engineer's Fast Track to Large-Scale Apps
bitkey
PRO
0
310
〜備えあれば憂いなし〜とりあえず障害訓練やろ? デジタル/フィジカル横断プロダクトを24365で維持するための戦略 / Better Safe Than Sorry: Incident Drills for 24/365 Digital-Physical Products
bitkey
PRO
0
170
雑談は、センサーだった
bitkey
PRO
2
550
AIが書いたコードを信じられない問題 〜レビュー負荷を下げるために変えたこと〜 / The AI Code Trust Gap: Reducing the Review Burden
bitkey
PRO
8
1.6k
Other Decks in Technology
See All in Technology
AI時代における最適なQA組織の作り方
ymty
3
460
証券システムを10年Scalaで作り続けるということ - 関数型まつり2026
krrrr38
3
750
LiDAR SLAMの実装とセンサ融合 ~Lie群からContinuous-Time LIOまで~
naokiakai
1
1k
20260702_生成AIはどこまで成長するのか_チャットだけじゃない世界
doradora09
PRO
0
110
ZOZOTOWNの進化と信頼性を両立する負荷試験
zozotech
PRO
0
140
人を動かすのは時間ではなく、納得感 〜新任EMが入社3ヶ月、組織を2回変えた話〜
kakehashi
PRO
2
160
勉強会企画をアプリで構造化してみた 〜そこで見えた、AIとの付き合い方〜 / I've structured a study group plan using an app.
pauli
0
330
AIに「使われる」時代のSaaS戦略 〜既存WebAPIのMCPサーバー化における開発ノウハウ〜
ekispert_api
0
300
CSに"SLO"は要らない、経営層に"99.9%"は伝わらない - SREを全社に"翻訳"する3原則
cscengineer
PRO
1
3.6k
スタートアップにおけるアジャイルの実践について #shibuyagile
murabayashi
3
2.1k
なぜ私たちのSREプラクティスはなかなか機能しないのか 〜システムより先に組織を見る〜 / Why our SRE practices aren't really working
vtryo
1
2.6k
SRE歴2ヶ月でも開発6年の知見を活かして、チームで止まっていた環境改善を前に進めた話
a_ono
1
220
Featured
See All Featured
Avoiding the “Bad Training, Faster” Trap in the Age of AI
tmiket
0
190
GraphQLの誤解/rethinking-graphql
sonatard
75
12k
A Tale of Four Properties
chriscoyier
163
24k
VelocityConf: Rendering Performance Case Studies
addyosmani
333
25k
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
350
Between Models and Reality
mayunak
4
360
Ruling the World: When Life Gets Gamed
codingconduct
0
280
The World Runs on Bad Software
bkeepers
PRO
72
12k
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
sarafernandez
2
1.5k
The Straight Up "How To Draw Better" Workshop
denniskardys
239
140k
Building Experiences: Design Systems, User Experience, and Full Site Editing
marktimemedia
0
550
What does AI have to do with Human Rights?
axbom
PRO
1
2.2k
Transcript
Copyright © 2022 Bitkey Inc. All right reserved. Goから学ぶ脆弱性対応ポリシー 株式会社ビットキー びやあき 2022-12-07
2 Copyright © 2022 Bitkey Inc. All right reserved. Outline
1. 自己紹介 2. モチベーション 3. 調査内容 4. まとめ
3 Copyright © 2022 Bitkey Inc. All right reserved. 自己紹介
びやあき BYAK お仕事 趣味 ビットキーのバックエンドチームであ るBKPに所属。 OIDCやSAML、SCIMなど外部ID連携周 りやビットキー内部でのサービス間認 証周りの開発を主に担当しています。 クラウドサービスを使うことが多いで す。Workload Identityとかが好きで す。 ボードゲーム Vtuber系の技術を試す
4 Copyright © 2022 Bitkey Inc. All right reserved. 2.
モチベーション
5 Copyright © 2022 Bitkey Inc. All right reserved. 2.
モチベーション なぜ脆弱性について調べようと思ったか • きっかけ OpenSSL 脆弱性対応 • 脆弱性なにもわからない • こ ままで良いんだっけ ... • ちょっと調べておこう
6 Copyright © 2022 Bitkey Inc. All right reserved. 2.
モチベーション この話のゴール • 日頃何をウォッチすれ いいかわかる • 脆弱性を見つけたらどうすれ いいかわかる
7 Copyright © 2022 Bitkey Inc. All right reserved. 3.
調査内容
8 Copyright © 2022 Bitkey Inc. All right reserved. 3.
調査内容 go 1.19.3 で修正された脆弱性 CVE-2022-41716 環境変数を任意 値に設定できる場合、攻撃者 Windows 上で環境変数を 悪意を持って設定することができます。 syscall.StartProcess および os/exec.Cmd において、NUL 値を含む無効な 環境変数値が適切にチェックされません。 悪意 ある環境変数値 、こ 挙動を悪用して別 環境変数に値を設定する ことができます。 例え 、環境変数Aに文字列「Bxx00C=D」を入力すると、 変数「A=B」と「C=D」を設定します。
9 Copyright © 2022 Bitkey Inc. All right reserved. 3.
調査内容 go 1.19.3 で修正された脆弱性 CVE-2022-41716 テスト 実装
10 Copyright © 2022 Bitkey Inc. All right reserved. 3.
調査内容 go 1.19.3 で修正された脆弱性 CVE-2022-41716 テスト 実装 • どうやって報告された か • どうやって修正された か
11 Copyright © 2022 Bitkey Inc. All right reserved. 3.
調査内容 CVE-2022-41716 の報告者 • CVE レコードが作成された 2022-09-28 • Issueが作成された 2022-10-18 • 2022-11-02 に修正がメインにマージされ、1.19と1.18にバックポートさ れて即リリースされている
12 Copyright © 2022 Bitkey Inc. All right reserved. 3.
調査内容 Go プロジェクトのセキュリティ脆弱性の扱い • 脆弱性を見つけたらメールでGoセキュリティチームに報告する • Goセキュリティチームが内容を精査する • 脆弱性DBに公開し、影響範囲を確認したり、修正したりできるようにな る https://go.dev/security/vuln/
13 Copyright © 2022 Bitkey Inc. All right reserved. 3.
調査内容 Go プロジェクトのセキュリティ脆弱性の扱い • 脆弱性を見つけたらメールでGoセキュリティチームに報告する • Goセキュリティチームが内容を精査する • 脆弱性DBに公開し、影響範囲を確認したり、修正したりできるようにな る https://go.dev/security/vuln/ • Issueが作成された 10/18 • 修正バージョンが公開された 11/2 • つまり、Issue Tracker をよく見ていれ 、脆弱性に関する 情報が早めに手に入る?
14 Copyright © 2022 Bitkey Inc. All right reserved. 3.
調査内容 セキュリティ脆弱性のIssueを探す • 2022-12-05時点で2件 Issueがある
15 Copyright © 2022 Bitkey Inc. All right reserved. 3.
調査内容 セキュリティ脆弱性のIssueを探す • 内容 非公開 • CVE レコードも採番 みで情報 非公開
16 Copyright © 2022 Bitkey Inc. All right reserved. 3.
調査内容 Goプロジェクトのセキュリティポリシー • セキュリティイシューに PUBLIC、PRIVATE、URGENT 分類がある • PUBLIC以外 イシュー 、それを修正した バージョンがリリースされる直前まで公開されない https://go.dev/security/policy
17 Copyright © 2022 Bitkey Inc. All right reserved. 4.
まとめ
18 Copyright © 2022 Bitkey Inc. All right reserved. 4.
まとめ 脆弱性についての理解 • 利用しているソフト メンテナから情報が公開される ◦ Go 場合 Twitterを見ておけ 良い ◦ govulncheckでチェック漏れを防ぐことができる • 脆弱性 不具合と別 方法で報告する場合が多い ◦ Go 場合 Goセキュリティチームにメールで報告 ◦ 基本的に メンテナに非公開で連絡する が良い
19 End of File Copyright © 2022 Bitkey Inc. All
right reserved.