govulncheckの紹介/govulncheck-intro

Transcript

1. govulncheckの紹介 id:lufiabb / @plan9user 2026/06/06 Kyoto.go #65 オフラインLT会 1

2. 今日の話 • 脆弱性とサプライチェーン攻撃の対策 • 手を抜くためにgovulncheckを使えます 2

3. 脆弱性 • サービスに過剰な負荷を与えたり • rootが取られたり • 情報漏洩が発生したり • とにかく良くないことが起きる •

   →なるべく早く修正したい 3

4. サプライチェーン攻撃 • 情報漏洩が発生したり • 自分が踏み台にされてしまったり • とにかく良くないことが起きる • →ある程度の期間待つ対策が有効 4

5. pkg@^1.0.0 • メジャーバージョンが同じ範囲で更新 • 脆弱性の修正をなるべく早く適用したい 5

6. Russ Coxの発言 So is "always download the latest version of

   all dependencies". The justification was to push the latest security fixes immediately, but more often these days it pushes the latest malware immediately instead. https://bsky.app/profile/swtch.com/post/3mitflkura32v 6

7. Russ Coxの発言(翻訳) 同様に「すべての依存関係を常に最新版にダ ウンロードする」という設定も再検討すべき です。当初は最新のセキュリティ修正を即座 に適用するためという理由でしたが、最近で はむしろ最新のマルウェアを即座にインス トールしてしまうケースが増えています。 https://bsky.app/profile/swtch.com/post/3mitflkura32v 7

8. Goの場合 • サプライチェーン攻撃は受けづらい ◦ バージョンがパッチまで固定（@^1.0.0記法がない) ◦ postinstallスクリプトもない ◦ リリースしたら同じバージョンを更新できない ◦

   sumdbで改ざん検知が行われる • とはいえ受けないわけではない ◦ go get @latestすると最新バージョンが使われる 8

9. cooldown/min-release-age • サプライチェーン攻撃を受けないための対策 ◦ 被害を受けたときに影響を小さくする方向も大切 • リリースから数時間で問題が報告されている • なので一定期間はアップデート対象にしない •

   Goには無いがプロポーザルは出ている ◦ support dependency cooldown in Go tooling #76485 9

10. 使い方(dependabot.yml) version: 2 updates: - package-ecosystem: gomod directory: / schedule:

    interval: monthly cooldown: default-days: 7 10

11. 脆弱性の修正は？ • 脆弱性の未修正は「攻撃可能な期間」になる ◦ なるべく短くしたい ⇔ サプライチェーン攻撃は怖い • Dependabotの場合、cooldownを設定しても 脆弱性の修正は優先される

    • 公式記事の中で以下の記述がある ◦ Stay responsive to critical security patches. 11

12. 12 とはいえ

13. リソースは無限じゃない • 個人公開のライブラリがいくつもあるとマー ジするだけで地味に大変 • 組織でも力を入れるコードとメンテナンス状 態のコードでは扱いが異なる • なるべく手を抜くところでは抜きたい 13

14. Dependabotはモジュール単位 • TURN DEPENDABOT OFF https://words.filippo.io/dependabot/ • Dependabotはモジュール単位で確認する • 実際に使われていなくてもCriticalになる

    • govulncheckは使われているか検証する 14

15. ソースモードとバイナリモード • -mode=source (デフォルト) ◦ ソースコードの状態で脆弱性を検査するモード ◦ GOOS, GOARCHに関係なく検出できる •

    -mode=binary ◦ ビルドされたバイナリを検査するモード ◦ アーキテクチャやOS固有の脆弱性しか対象にしない 15

16. govulncheck-actionもある • Go公式が提供しているAction • ソースモードで検査する - golang/govulncheck-action@31f7c5463448f83528bd7 71c2d978d940080c9fd # v1.0.4-1

    with: go-package: ./… 16 v1.0.4はアクション内部でタグを参照 しているので、SHAを強制している場 合は最新のコミットを使いましょう...

17. 17 govulncheckが動く様子

18. ソースモードの例(検出されない場合) $ govulncheck ./... === Symbol Results === No vulnerabilities

    found. 18

19. ソースモードの例(検出した場合) $ govulncheck ./... === Symbol Results === Vulnerability #1:

    GO-2024-2947 Leak of sensitive information to log files in github.com/hashicorp/go-retryablehttp More info: https://pkg.go.dev/vuln/GO-2024-2947 Module: github.com/hashicorp/go-retryablehttp 19

20. バイナリモードの例 $ govulncheck -mode=binary ~/bin/govulncheck === Symbol Results === Vulnerability

    #1: GO-2026-5039 Arbitrary inputs are included in errors without any escaping in net/textproto More info: https://pkg.go.dev/vuln/GO-2026-5039 Fixed in: net/[email protected] 20

21. 実用例(AIエージェントに与えてみた) > `govulncheck -mode=binary ~/bin/govulncheck` を実行し て、結果を評価してください govulncheckの結果を評価しました。このバイナリは、 Go標準ライブラリに 起因する14の脆弱性の影響を受けていることが判明いたしました。出力を見

    る限り、使用されている Goのバージョン（ go1.25.2）が古く、これらの脆弱 性はより新しい Go 1.25のパッチバージョン（例： go1.25.11）で修正され ているようです。 21

22. 実用例(AIエージェントに与えてみた) > これらのリスクはどの程度ありますか 内容を見ると、以下の種類の脆弱性が含まれています。 1. サービス拒否 (DoS) 攻撃の可能性 2. セキュリティバイパスや情報漏洩の可能性

    govulncheck自体は主にローカルで実行される分析ツールであり、一般的な ネットワークサービスほど直接的な攻撃に晒される可能性は低いかもしれま せん。しかし、 (この後は一般的な話が続く )... 22

23. 23 govulnの出力が分からな ければ更新しましょう ただし新しすぎるバージョンには気をつけて

24. まとめ • govulncheckは便利なツールです • govulncheck-actionもあります ◦ ただしSHA pinningを強制している場合は masterのコミットを使いましょう 24