Upgrade to Pro — share decks privately, control downloads, hide ads and more …

gosecを試してみた話 / try gosec

Avatar for k2wanko k2wanko
March 01, 2019
Technology
1
3.2k

gosecを試してみた話 / try gosec

https://line.connpass.com/event/120570/
Avatar for k2wanko

k2wanko

March 01, 2019
Tweet

More Decks by k2wanko

See All by k2wanko
Sales AI Cloud "ailead" TSConfig Strictly Adopted / セールスAIクラウド「ailead」の TSConfig厳格化対応した話 /
Avatar for k2wanko k2wanko
1
1.8k
Google Analytics for Firebaseを 使うときに把握しておきたいこと / Keep in mind when using Google Analytics for Firebase
Avatar for k2wanko k2wanko
2
490
パスワードのない未来のための Firebaseで実装するFIDO2 / FIDO2 actualized by Firebase for the password-less future
Avatar for k2wanko k2wanko
5
2.3k
Firebase Auth & Performance Monitoring
Avatar for k2wanko k2wanko
0
350
What's New Firebase 2019 Q1 #FJUG #io19jp
Avatar for k2wanko k2wanko
5
2.6k
Firebase for Grow
Avatar for k2wanko k2wanko
5
950
最近のFirebase / Recent Firebase
Avatar for k2wanko k2wanko
4
1.6k
Firebase Japan User Group Introduction 2018 #FJUG
Avatar for k2wanko k2wanko
0
590
Firestore with Security - Firebase Summit 2018 Report Day
Avatar for k2wanko k2wanko
5
1.9k

Other Decks in Technology

See All in Technology
CDKコード品質UP!ナイスな自作コンストラクタを作るための便利インターフェース
Avatar for Haruka Sakihara harukasakihara
2
200
ゼロからはじめる採用広報
Avatar for Yuta Horii yutadayo
4
1k
AIエージェントが書くのなら直接CloudFormationを書かせればいいじゃないですか何故AWS CDKを使う必要があるのさ
Avatar for watany watany
18
7k
NewSQLや分散データベースを支えるRaftの仕組み - 仕組みを理解して知る得意不得意
Avatar for hacomono Inc. hacomono
PRO
3
230
SREの次のキャリアの道しるべ 〜SREがマネジメントレイヤーに挑戦して、 気づいたこととTips〜
Avatar for coconala_engineer coconala_engineer
1
1k
ABEMAの本番環境負荷試験への挑戦
Avatar for Miyazaki Taiga mk2taiga
5
810
DatabricksにOLTPデータベース『Lakebase』がやってきた!
Avatar for Takeru Ino inoutk
0
150
Lufthansa ®️ USA Contact Numbers: Complete 2025 Support Guide
Avatar for danielconkling870 lufthanahelpsupport
0
240
大量配信システムにおけるSLOの実践:「見えない」信頼性をSLOで可視化
Avatar for PLAID Tech plaidtech
PRO
0
290
SEQUENCE object comparison - db tech showcase 2025 LT2
Avatar for Noriyoshi Shinoda nori_shinoda
0
280
Copilot coding agentにベットしたいCTOが開発組織で取り組んだこと / GitHub Copilot coding agent in Team
Avatar for tnir tnir
0
150
スタートアップに選択肢を 〜生成AIを活用したセカンダリー事業への挑戦〜
Avatar for Nstock nstock
0
290

Featured

See All Featured
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
695
190k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
2.9k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
332
24k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
328
39k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
134
9.4k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
15
1.6k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
3.9k
Typedesign – Prime Four
Avatar for Hannes Fritz hannesfritz
42
2.7k
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
90
590k
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
407
66k
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
45
7.5k
Building an army of robots
Avatar for Kyle Neath kneath
306
45k

Transcript

  1. gosecを試してみた話 @k2wanko

  2. コキチーズ@k2wanko セキュリティエンジニア 脆弱性診断とか Bug Bounty運営をやっている。 TypeScriptとGoが好き。 最近Splatoonを復帰した。 ウデマエ 平均X2200くらい

  3. gosecとは? by https://github.com/securego/gosec

  4. Inspects source code for security problems by scanning the Go

    AST.

  5. GoのASTをスキャンして、 ソースコードの セキュリティ上の問題を調べます。

  6. もともとgasという名前だったのを gosecに名前を変えています。

  7. Website https://securego.io

  8. ライセンスは Apache License version 2

  9. Install

  10. GO111MODULE=off go get github.com/securego/gosec

  11. Install curl -sfL https://raw.githubusercontent.com/securego/gosec/master/ins tall.sh | sh -s -- -b

    $GOPATH/bin 1.2.0

  12. gosecの使い方

  13. gosec ./...

  14. gosec -include=G101,G102

  15. gosec -exclude=G303 ./...

  16. G101 Look for hardcoded credentials

  17. G101 Look for hardcoded credentials ハードコードされた認証情報を検知してくれます。 ある程度複雑なクレデンシャルじゃないと検知してくれない。(configで調整) package main func

    main() { username := "admin" password := "iang9kiechihien4fieCh7beicienein" ... }

  18. G101 Look for hardcoded credentials `(?i)passwd|pass|password|pwd|secret|token` このパターンにマッチする変数に代入されると検知。 configから設定を変えられる。 goesc -conf

    config.json . { “G101”: { “pattern”: “(?i)passwd|pass|password|pwd|secret|token|key” } }

  19. G103: Use of unsafe block

  20. G103: Use of unsafe block unsafeパッケージの"Alignof", "Offsetof", "Sizeof", "Pointer"の利用を検知します。 人類にメモリ管理は早すぎるのでunsafeパッケージを使うのは極力避けよう

    package main import ( “unsafe” ) func main() { addressHolder := uintptr(unsafe.Pointer(intPtr)) + unsafe.Sizeof(intArray[0]) intPtr = (*int)(unsafe.Pointer(addressHolder)) }

  21. G201: SQL query construction using format string

  22. G201: SQL query construction using format string SQLを文字列の結合で組み立てているのを検知してくれます。 import (

    “database/sql” ... ) func main() { db, err := sql.Open("sqlite3", ":memory:") ... q := fmt.Sprintf("SELECT * FROM foo where name = '%s'", os.Args[1]) rows, err := db.Query(q)

  23. G201: SQL query construction using format string 文字列の結合ではなく database/sqlパッケージを利用してSQLを組み立てましょう。 import

    ( “database/sql” ... ) func main() { db, err := sql.Open("sqlite3", ":memory:") ... rows, err := db.Query("SELECT * FROM foo where name = ?", name)

  24. gosecで検知できる項目 misc G101 Look for hardcoded credentials G102 Bind to

    all interfaces G103 Audit the use of unsafe block G104 Audit errors not checked G105 Audit the use of big.Exp function5 G106 Audit the use of ssh.InsecureIgnoreHostKey function G107 Url provided to HTTP request as taint input injection G201 SQL query construction using format string G202 SQL query construction using string concatenation G203 Use of unescaped data in HTML templates G204 Audit use of command execution

  25. gosecで検知できる項目 filesystem G301 Poor file permissions used when creating a

    directory G302 Poor file permissions used when creation file or using chmod G303 Creating tempfile using a predictable path G304 File path provided as taint input G305 File path traversal when extracting zip archive crypto G401 Detect the usage of DES, RC4, MD5 or SHA1 G402 Look for bad TLS connection settings G403 Ensure minimum RSA key length of 2048 bits G404 Insecure random number source (rand) blacklist G501 Import blacklist: crypto/md5 G502 Import blacklist: crypto/des G503 Import blacklist: crypto/rc4 G504 Import blacklist: net/http/cgi G505 Import blacklist: crypto/sha1

  26. // #nosec G201 G202 G203 /* #nosec G401 */ とcommentつけることで

    エラーを無視できる。

  27. まとめと所感

  28. まとめと所感 - うっかりミスを発見するにはよい。 - CIに組み込むほどではないかも。 - 診断業務で簡易的に使うには便利そう。 - 勉強会に来る人にはあまり必要なさそう。 -

    実際に仕事で使うならフォークしてルールを追加していく必要がある。

  29. おわり