Upgrade to Pro — share decks privately, control downloads, hide ads and more …

GC25 Recap: The Code You Reviewed is Not the Co...

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for mazrean mazrean
October 17, 2025
Programming
460
0

GC25 Recap: The Code You Reviewed is Not the Code You Built / #newt_gophercon_tour

Avatar for mazrean

mazrean

October 17, 2025

More Decks by mazrean

See All by mazrean
瑠璃の宝石に学ぶ技術の声の聴き方 / 【劇場版】アニメから得た学びを発表会2026 #エンジニアニメ
Avatar for mazrean mazrean
0
370
Go Proposal Weekly Digestの作り方 / Go Connect #11
Avatar for mazrean mazrean
0
140
WebComponentとSSGで作る 個人開発Webフロントエンド / TechTalk #69
Avatar for mazrean mazrean
0
83
Go 1.26でのsliceのメモリアロケーション最適化 / Go 1.26 リリースパーティ #go126party
Avatar for mazrean mazrean
1
550
社会人になっても趣味開発を続けたい! / traPavilion
Avatar for mazrean mazrean
1
420
KessokuのDIにおけるgoroutineスケジューリング / golang.tokyo #41
Avatar for mazrean mazrean
0
490
作って理解するGOCACHEPROG / Go Conference 2025(Workshop)
Avatar for mazrean mazrean
0
520
実用的なGOCACHEPROG実装をするために / golang.tokyo #40
Avatar for mazrean mazrean
1
740
KessokuでDIでもgoroutineを活用する / Go Connect #6
Avatar for mazrean mazrean
0
700

Other Decks in Programming

See All in Programming
AIとRubyの静的型付け
Avatar for ukin0k0 ukin0k0
0
140
AI駆動開発勉強会 広島支部 第一回勉強会 AI駆動開発概要とワークショップ
Avatar for smz hyt hayatoshimiu
0
390
RailsTokyo 2026#4: AI様があれば、
Hotwireの弱点は消えるか?
Avatar for Naofumi Kagami naofumi
5
990
プロパティの順序で型推論が壊れる!? TypeScript6.0の修正からContext-Sensitivityの仕組みを追う
Avatar for おおいし bicstone
2
1.2k
タクシーアプリ『GO』の バックエンド開発のおける AI利活用と若者のすべて
Avatar for Kazuhiko Yamashita pyama86
3
1.7k
自動レビューエンジンの実装と運用 ~レビューのない世界へ~
Avatar for Kanato kurukuru1999
2
270
技術記事、AIに書かせるか、自分で書くか? 〜それでも私が自分の手で書く理由〜 / #QiitaConference
Avatar for Junichi Ito jnchito
2
1.1k
These Five Tricks Can Make Your Apps Greener, Cheaper, & Nicer
Avatar for Holly Cummins hollycummins
0
220
OCRを使ってゲームのアイテムをデータ化する
Avatar for Kishikawa Katsumi kishikawakatsumi
0
120
iOS26時代の新規アプリ開発
Avatar for 野瀬田 裕樹 yuukiw00w
0
210
Oxlintはいかにしてtsgolintのlint ruleを呼び出しているのか
Avatar for syumai syumai
2
830
oxlintはeslint/typescript-eslintを置き換えられるのか
Avatar for shoma-fujita shomafujita
2
260

Featured

See All Featured
HDC tutorial
Avatar for Michiel Stock michielstock
2
680
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
3.2k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
35
2.4k
Exploring anti-patterns in Rails
Avatar for Elle Meredith aemeredith
3
370
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
287
14k
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
Avatar for konakalab konakalab
0
430
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
9
2k
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
29
4.2k
Agile Actions for Facilitating Distributed Teams - ADO2019
Avatar for Mark Kilby mkilby
0
200
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
274
21k
The SEO identity crisis: Don't let AI make you average
Avatar for Varn varn
0
470
Redefining SEO in the New Era of Traffic Generation
Avatar for Szymon Słowik szymonslowik
1
310

Transcript

  1. GC25 Recap: The Code You Reviewed is Not the Code

    You Built @mazrean GopherCon Tour 2025 報告会

  2. mazrean ▪ Goでツール等を作っている • SQL Builder GenORM • DIツールKessoku ▪

    SRE @DeNA @mazrean22 マズリーン 2

  3. Recapするセッション 3

  4. スライド未公開セッションのRecap • 発表動画公開までは内容確認できない • メモ・記憶ベースのRecap ◦ 多少流れに差がある可能性があります

  5. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツールcapslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  6. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツールcapslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  7. boltdbでのサプライチェーン攻撃 ▪ タイポスクワッティング攻撃 • パッケージのtypoを利用した攻撃 ▪ 3年以上潜伏 • Go Module

    Proxyを悪用 7 github.com/boltdb-go/bolt github.com/boltdb/bolt

  8. Go Module Proxy Goのモジュール をキャッシュ するプロキシ ▪ go.mod・コードなどをキャッシュ ▪ 依存関係の消失対策となる

    8

  9. 潜伏できた理由 1. 攻撃コードにGitタグを設定 2. go get実行 • Go Module Proxyで攻撃コードをキャッシュ

    3. 無害コードにGitタグを貼り替え → リポジトリ上 は無害 9

  10. The Code You Reviewed is Not the Code You Built

    レビューしたコードは ビルドされるコードとは限らない

  11. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツール capslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  12. capability解析ツールcapslock コードの行う特権的操作を解析するツール ▪ コードを静的解析 ▪ 行う特権的操作(capability)を特定 12 https://github.com/google/capslock

  13. capability パッケージ の行う特権的操作 ▪ 以下の12種類が検出の対象 13 CAPABILITY_FILES CAPABILITY_NETWORK CAPABILITY_RUNTIME CAPABILITY_CGO

    CAPABILITY_EXEC CAPABILITY_READ_SYSTEM_STATE CAPABILITY_MODIFY_SYSTEM_STATE CAPABILITY_OPERATING_SYSTEM CAPABILITY_SYSTEM_CALLS CAPABILITY_UNSAFE_POINTER CAPABILITY_REFLECT CAPABILITY_ARBITRARY_EXECUTION

  14. capslockの仕組み ▪ コールグラフ を推移的に解析 • 外部ライブラリも含む ▪ 特定の標準ライブラリ 関数の呼び出し検出 14

  15. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツールcapslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  16. capabilityでのサプライチェーン攻撃対策 ▪ パッケージの役割とcapabilityは関連 • ロガーでネットワークアクセスはおかしい ▪ capabilityはほぼ変化しない • 3%程度の変更でのみ変化 →

    capabilityの変化は怪しい 16

  17. capability比較 以下の2つの方法で比較可能 ▪ capslock-git-diffコマンド ▪ deps.dev 17

  18. capability比較: capslock-git-diffコマンド コミット間 のcapability比較 ▪ CIで回せる ▪ PRコメントを行うことで攻撃に気づける 18

  19. capability比較: deps.dev パッケージバージョン間 のcapability比較 ▪ パッケージ内でcapability増減を表示 ▪ パッケージ更新時に確認 19

  20. 注意点 ▪ ビルドタグで出しわけが行われる可能性 → 開発・本番環境 の両環境でチェック必要 ▪ 確実に問題が検出できるわけではない • 既に使っているcapabilityで攻撃される可能性

    • あくまでも他手段の補完 20

  21. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツールcapslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  22. まとめ ▪ Go Module Proxyを利用した攻撃が存在 • リポジトリのコードとキャッシュに差が発生 • コード確認では不十分 ▪

    capslockでcapabilityの確認ができる ▪ capabilityの変化は怪しい • ほぼ変化しない ▪ capslock-git-diff・deps.devで比較可能 22