Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Goから学ぶ脆弱性対応ポリシー

株式会社ビットキー / Bitkey Inc.
PRO
December 07, 2022
Technology
0
470

 Goから学ぶ脆弱性対応ポリシー

株式会社ビットキー / Bitkey Inc.
PRO

December 07, 2022
Tweet

More Decks by 株式会社ビットキー / Bitkey Inc.

See All by 株式会社ビットキー / Bitkey Inc.
多領域インシデントマネジメントへの挑戦:ハードウェアとソフトウェアの融合が生む課題/Challenge to multidisciplinary incident management: Issues created by the fusion of hardware and software
bitkey
PRO
2
80
GORM v1 → v2に移行したときの変更点/Changes when moving from GORM v1 to v2
bitkey
PRO
1
44
うまくいく! を実現するための質問力 / It works! The Power of Questions to Make It Happen
bitkey
PRO
1
320
ビットキーの中核を担うプロダクトで テスト自動化を駆使して安定的なリリースを実現する/At the core of BitKey's products Achieving stable releases through the use of test automation
bitkey
PRO
1
83
共創するアーキテクチャ ~チーム全体で築く持続可能な開発エコシステム~ / Co-Creating Architecture - A Sustainable Development Ecosystem Built by the Entire Team
bitkey
PRO
2
5.7k
キャンセルします!処理を / Cancels the process!
bitkey
PRO
1
130
Waroomを使って ハードウェアからソフトウェアまで 領域横断してインシデントマネジメント始めてみた /I started incident management using Waroom across domains from hardware to software.
bitkey
PRO
1
120
データを用いてサービス品質の向上に貢献!! SREのプラクティスを用いた守りのデータ分析 / Using Data to Improve Service Quality! Defensive data analysis using SRE practices
bitkey
PRO
2
140
“共通化”で失敗したモデリング実例 / Modeling examples of failures due to "commonization
bitkey
PRO
3
210

Other Decks in Technology

See All in Technology
OpenShift Virtualizationのネットワーク構成を真剣に考えてみた/OpenShift Virtualization's Network Configuration
tnk4on
0
110
Ruby on Railsで作る銘柄スクリーニング
shoe116
0
120
Wvlet: A New Flow-Style Query Language For Functional Data Modeling and Interactive Data Analysis - Trino Summit 2024
xerial
1
100
Fanstaの1年を大解剖! 一人SREはどこまでできるのか!?
syossan27
2
130
Snowflake女子会#3 Snowpipeの良さを5分で語るよ
lana2548
0
210
kargoの魅力について伝える
magisystem0408
0
190
NilAway による静的解析で「10 億ドル」を節約する #kyotogo / Kyoto Go 56th
ytaka23
3
350
IVRyエンジニア忘年LT大会2024 クリティカルユーザージャーニーの整理
abnoumaru
0
160
アップデート紹介:AWS Data Transfer Terminal
stknohg
PRO
0
160
目玉アップデート!のSageMaker LakehouseとUnified Studioは何たるかを見てみよう!
nayuts
0
250
テーブルが200以上あるSaaSでRSCとGraphQLを併用する理由
msickpaler
2
1.2k
ガバメントクラウドのセキュリティ対策事例について
fujisawaryohei
0
330

Featured

See All Featured
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
95
17k
The Invisible Side of Design
smashingmag
298
50k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Six Lessons from altMBA
skipperchong
27
3.5k
We Have a Design System, Now What?
morganepeng
51
7.3k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
Designing for Performance
lara
604
68k
How STYLIGHT went responsive
nonsquared
95
5.2k
Reflections from 52 weeks, 52 projects
jeffersonlam
347
20k
Building Better People: How to give real-time feedback that sticks.
wjessup
365
19k
Into the Great Unknown - MozCon
thekraken
33
1.5k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
38
7k

Transcript

  1. Copyright © 2022 Bitkey Inc. All right reserved. Goから学ぶ脆弱性対応ポリシー 株式会社ビットキー びやあき 2022-12-07

  2. 2 Copyright © 2022 Bitkey Inc. All right reserved. Outline

    1. 自己紹介 2. モチベーション 3. 調査内容 4. まとめ

  3. 3 Copyright © 2022 Bitkey Inc. All right reserved. 自己紹介

    びやあき BYAK お仕事 趣味 ビットキーのバックエンドチームであ るBKPに所属。 OIDCやSAML、SCIMなど外部ID連携周 りやビットキー内部でのサービス間認 証周りの開発を主に担当しています。 クラウドサービスを使うことが多いで す。Workload Identityとかが好きで す。 ボードゲーム Vtuber系の技術を試す

  4. 4 Copyright © 2022 Bitkey Inc. All right reserved. 2.

    モチベーション

  5. 5 Copyright © 2022 Bitkey Inc. All right reserved. 2.

    モチベーション なぜ脆弱性について調べようと思ったか • きっかけ OpenSSL 脆弱性対応 • 脆弱性なにもわからない • こ ままで良いんだっけ ... • ちょっと調べておこう

  6. 6 Copyright © 2022 Bitkey Inc. All right reserved. 2.

    モチベーション この話のゴール • 日頃何をウォッチすれ いいかわかる • 脆弱性を見つけたらどうすれ いいかわかる

  7. 7 Copyright © 2022 Bitkey Inc. All right reserved. 3.

    調査内容

  8. 8 Copyright © 2022 Bitkey Inc. All right reserved. 3.

    調査内容 go 1.19.3 で修正された脆弱性 CVE-2022-41716 環境変数を任意 値に設定できる場合、攻撃者 Windows 上で環境変数を 悪意を持って設定することができます。 syscall.StartProcess および os/exec.Cmd において、NUL 値を含む無効な 環境変数値が適切にチェックされません。 悪意 ある環境変数値 、こ 挙動を悪用して別 環境変数に値を設定する ことができます。 例え 、環境変数Aに文字列「Bxx00C=D」を入力すると、 変数「A=B」と「C=D」を設定します。

  9. 9 Copyright © 2022 Bitkey Inc. All right reserved. 3.

    調査内容 go 1.19.3 で修正された脆弱性 CVE-2022-41716 テスト 実装

  10. 10 Copyright © 2022 Bitkey Inc. All right reserved. 3.

    調査内容 go 1.19.3 で修正された脆弱性 CVE-2022-41716 テスト 実装 • どうやって報告された か • どうやって修正された か

  11. 11 Copyright © 2022 Bitkey Inc. All right reserved. 3.

    調査内容 CVE-2022-41716 の報告者 • CVE レコードが作成された 2022-09-28 • Issueが作成された 2022-10-18 • 2022-11-02 に修正がメインにマージされ、1.19と1.18にバックポートさ れて即リリースされている

  12. 12 Copyright © 2022 Bitkey Inc. All right reserved. 3.

    調査内容 Go プロジェクトのセキュリティ脆弱性の扱い • 脆弱性を見つけたらメールでGoセキュリティチームに報告する • Goセキュリティチームが内容を精査する • 脆弱性DBに公開し、影響範囲を確認したり、修正したりできるようにな る https://go.dev/security/vuln/

  13. 13 Copyright © 2022 Bitkey Inc. All right reserved. 3.

    調査内容 Go プロジェクトのセキュリティ脆弱性の扱い • 脆弱性を見つけたらメールでGoセキュリティチームに報告する • Goセキュリティチームが内容を精査する • 脆弱性DBに公開し、影響範囲を確認したり、修正したりできるようにな る https://go.dev/security/vuln/ • Issueが作成された 10/18 • 修正バージョンが公開された 11/2 • つまり、Issue Tracker をよく見ていれ 、脆弱性に関する 情報が早めに手に入る?

  14. 14 Copyright © 2022 Bitkey Inc. All right reserved. 3.

    調査内容 セキュリティ脆弱性のIssueを探す • 2022-12-05時点で2件 Issueがある

  15. 15 Copyright © 2022 Bitkey Inc. All right reserved. 3.

    調査内容 セキュリティ脆弱性のIssueを探す • 内容 非公開 • CVE レコードも採番 みで情報 非公開

  16. 16 Copyright © 2022 Bitkey Inc. All right reserved. 3.

    調査内容 Goプロジェクトのセキュリティポリシー • セキュリティイシューに PUBLIC、PRIVATE、URGENT 分類がある • PUBLIC以外 イシュー 、それを修正した バージョンがリリースされる直前まで公開されない https://go.dev/security/policy

  17. 17 Copyright © 2022 Bitkey Inc. All right reserved. 4.

    まとめ

  18. 18 Copyright © 2022 Bitkey Inc. All right reserved. 4.

    まとめ 脆弱性についての理解 • 利用しているソフト メンテナから情報が公開される ◦ Go 場合 Twitterを見ておけ 良い ◦ govulncheckでチェック漏れを防ぐことができる • 脆弱性 不具合と別 方法で報告する場合が多い ◦ Go 場合 Goセキュリティチームにメールで報告 ◦ 基本的に メンテナに非公開で連絡する が良い

  19. 19 End of File Copyright © 2022 Bitkey Inc. All

    right reserved.