Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Goから学ぶ脆弱性対応ポリシー

株式会社ビットキー / Bitkey Inc.
PRO
December 07, 2022
Technology
0
430

 Goから学ぶ脆弱性対応ポリシー

株式会社ビットキー / Bitkey Inc.
PRO

December 07, 2022
Tweet

More Decks by 株式会社ビットキー / Bitkey Inc.

See All by 株式会社ビットキー / Bitkey Inc.
DevOpsDays Tokyo 2024 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略 / DevOpsDays Tokyo 2024 - Between Digital and Analog - Automated Testing Strategies to Support Smart Building Development.
bitkey
PRO
0
6
マルチプラットフォームを見据えるiOSのTCA設計|Designing iOS Apps with TCA for Multi-Platform Strategies
bitkey
PRO
1
74
また輝く瞳を取り戻すために / To get your eyes shining again.
bitkey
PRO
0
22
“持続可能な”開発を実現するためにスタートアップで実践したこと / What we did at the start to achieve 'sustainable' development.
bitkey
PRO
0
81
エンジニアのマネジメントキャリアにおける技術広報 / Technical Public Relations in Developers' Management Careers
bitkey
PRO
0
67
リリース速度10倍を実現したビットキー流DevOps - Argo CD との付き合い方 - / Bitkey-style DevOps with 10X faster release speed - How to work with Argo CD -
bitkey
PRO
0
260
SLI・SLOを「データ」として活用する
bitkey
PRO
0
130
ビットキーのIoT基盤における AWS IoT Rule Action 活用
bitkey
PRO
0
83
創業期にやったプロダクトマネジメントっぽいこと / Product management-like things we did during the start-up phase.
bitkey
PRO
1
570

Other Decks in Technology

See All in Technology
LangSmith入門―トレース/評価/プロンプト管理などを担うLLMアプリ開発プラットフォーム
os1ma
3
140
一生覚えておきたい「システム開発=コミュニケーション」〜初めての実務案件振り返りLT〜
maimyyym
0
140
Vertex AI を中心に 生成AIのアップデートを共有します
kaz1437
0
310
推しは推せるときに推せ! プロダクトにフィードバックしていこう
nakasho
0
310
複雑な構成要素を持つUIとの向き合い方 〜新・支出グラフでの実例〜 / B43 TECH TALK
nakamuuu
0
140
GraphQL 成熟度モデルの紹介と、プロダクトに当てはめた事例 / GraphQL maturity model
mh4gf
7
1.3k
Delivering Millions of Messages within seconds @ Duolingo
pelelgrino
0
350
AOAI をきっかけに​ 社内の Azure 管理を見直した話​
recruitengineers
PRO
1
280
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
2.1k
Gitlab本から学んだこと - そーだいなるプレイバック / gitlab-book
soudai
4
400
障害対応をちょっとずつよくしていくための 演習の作りかた
heleeen
0
200
アクセシビリティを考慮したUI/CSSフレームワーク・ライブラリ選定
yajihum
2
1k

Featured

See All Featured
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
274
13k
StorybookのUI Testing Handbookを読んだ
zakiyama
13
4.6k
Automating Front-end Workflow
addyosmani
1356
200k
Stop Working from a Prison Cell
hatefulcrawdad
266
19k
Web development in the modern age
philhawksworth
202
10k
Robots, Beer and Maslow
schacon
PRO
155
7.9k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
241
1.2M
Scaling GitHub
holman
457
140k
Thoughts on Productivity
jonyablonski
58
3.8k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
187
16k
Embracing the Ebb and Flow
colly
80
4.1k
Building a Scalable Design System with Sketch
lauravandoore
456
32k

Transcript

  1. Copyright © 2022 Bitkey Inc. All right reserved. Goから学ぶ脆弱性対応ポリシー 株式会社ビットキー びやあき 2022-12-07

  2. 2 Copyright © 2022 Bitkey Inc. All right reserved. Outline

    1. 自己紹介 2. モチベーション 3. 調査内容 4. まとめ

  3. 3 Copyright © 2022 Bitkey Inc. All right reserved. 自己紹介

    びやあき BYAK お仕事 趣味 ビットキーのバックエンドチームであ るBKPに所属。 OIDCやSAML、SCIMなど外部ID連携周 りやビットキー内部でのサービス間認 証周りの開発を主に担当しています。 クラウドサービスを使うことが多いで す。Workload Identityとかが好きで す。 ボードゲーム Vtuber系の技術を試す

  4. 4 Copyright © 2022 Bitkey Inc. All right reserved. 2.

    モチベーション

  5. 5 Copyright © 2022 Bitkey Inc. All right reserved. 2.

    モチベーション なぜ脆弱性について調べようと思ったか • きっかけ OpenSSL 脆弱性対応 • 脆弱性なにもわからない • こ ままで良いんだっけ ... • ちょっと調べておこう

  6. 6 Copyright © 2022 Bitkey Inc. All right reserved. 2.

    モチベーション この話のゴール • 日頃何をウォッチすれ いいかわかる • 脆弱性を見つけたらどうすれ いいかわかる

  7. 7 Copyright © 2022 Bitkey Inc. All right reserved. 3.

    調査内容

  8. 8 Copyright © 2022 Bitkey Inc. All right reserved. 3.

    調査内容 go 1.19.3 で修正された脆弱性 CVE-2022-41716 環境変数を任意 値に設定できる場合、攻撃者 Windows 上で環境変数を 悪意を持って設定することができます。 syscall.StartProcess および os/exec.Cmd において、NUL 値を含む無効な 環境変数値が適切にチェックされません。 悪意 ある環境変数値 、こ 挙動を悪用して別 環境変数に値を設定する ことができます。 例え 、環境変数Aに文字列「Bxx00C=D」を入力すると、 変数「A=B」と「C=D」を設定します。

  9. 9 Copyright © 2022 Bitkey Inc. All right reserved. 3.

    調査内容 go 1.19.3 で修正された脆弱性 CVE-2022-41716 テスト 実装

  10. 10 Copyright © 2022 Bitkey Inc. All right reserved. 3.

    調査内容 go 1.19.3 で修正された脆弱性 CVE-2022-41716 テスト 実装 • どうやって報告された か • どうやって修正された か

  11. 11 Copyright © 2022 Bitkey Inc. All right reserved. 3.

    調査内容 CVE-2022-41716 の報告者 • CVE レコードが作成された 2022-09-28 • Issueが作成された 2022-10-18 • 2022-11-02 に修正がメインにマージされ、1.19と1.18にバックポートさ れて即リリースされている

  12. 12 Copyright © 2022 Bitkey Inc. All right reserved. 3.

    調査内容 Go プロジェクトのセキュリティ脆弱性の扱い • 脆弱性を見つけたらメールでGoセキュリティチームに報告する • Goセキュリティチームが内容を精査する • 脆弱性DBに公開し、影響範囲を確認したり、修正したりできるようにな る https://go.dev/security/vuln/

  13. 13 Copyright © 2022 Bitkey Inc. All right reserved. 3.

    調査内容 Go プロジェクトのセキュリティ脆弱性の扱い • 脆弱性を見つけたらメールでGoセキュリティチームに報告する • Goセキュリティチームが内容を精査する • 脆弱性DBに公開し、影響範囲を確認したり、修正したりできるようにな る https://go.dev/security/vuln/ • Issueが作成された 10/18 • 修正バージョンが公開された 11/2 • つまり、Issue Tracker をよく見ていれ 、脆弱性に関する 情報が早めに手に入る?

  14. 14 Copyright © 2022 Bitkey Inc. All right reserved. 3.

    調査内容 セキュリティ脆弱性のIssueを探す • 2022-12-05時点で2件 Issueがある

  15. 15 Copyright © 2022 Bitkey Inc. All right reserved. 3.

    調査内容 セキュリティ脆弱性のIssueを探す • 内容 非公開 • CVE レコードも採番 みで情報 非公開

  16. 16 Copyright © 2022 Bitkey Inc. All right reserved. 3.

    調査内容 Goプロジェクトのセキュリティポリシー • セキュリティイシューに PUBLIC、PRIVATE、URGENT 分類がある • PUBLIC以外 イシュー 、それを修正した バージョンがリリースされる直前まで公開されない https://go.dev/security/policy

  17. 17 Copyright © 2022 Bitkey Inc. All right reserved. 4.

    まとめ

  18. 18 Copyright © 2022 Bitkey Inc. All right reserved. 4.

    まとめ 脆弱性についての理解 • 利用しているソフト メンテナから情報が公開される ◦ Go 場合 Twitterを見ておけ 良い ◦ govulncheckでチェック漏れを防ぐことができる • 脆弱性 不具合と別 方法で報告する場合が多い ◦ Go 場合 Goセキュリティチームにメールで報告 ◦ 基本的に メンテナに非公開で連絡する が良い

  19. 19 End of File Copyright © 2022 Bitkey Inc. All

    right reserved.