Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性対応、どこで線を引くか
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
ryoji miyamoto
June 17, 2026
Technology
130
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
脆弱性対応、どこで線を引くか
2026/06/17 Go Connect #14
ryoji miyamoto
June 17, 2026
More Decks by ryoji miyamoto
See All by ryoji miyamoto
トモニテでEKSからECSに乗り換えによるコスト削減
rymiyamoto
0
570
go1.22からのテストカバレッジとの付き合い方
rymiyamoto
1
1.9k
Other Decks in Technology
See All in Technology
Rubyで音を視る
ydah
1
260
Claude Code の Sandbox 機能を Anthropic Sandbox Runtime(srt) で試そう!/lets-play-anthropic-sandbox-runtime
tomoki10
1
390
データ基盤をDataformで整えた話 〜 開発環境を添えて 〜
takapy
0
130
LLMにもCAP定理があるという話
harukasakihara
0
270
Rancherの紹介&Update情報(RancherJP Online Meetup #09)
yoshiyuki_kono
0
140
運用を見据えたAIエージェント設計実践
amacbee
1
3.4k
OCI Oracle AI Database Services新機能アップデート(2026/03-2026/05)
oracle4engineer
PRO
0
320
Socrates × Looker 〜セマンティックレイヤーで進化するデータ分析エージェント〜
hanon52_
3
1.7k
AI活用を推進するために ファインディが下した、一つの小さな決断
starfish719
0
280
AIを「創る」と「使う」の循環 — HRテックが実践するリアルなAI組織実装
taketo957
0
1.8k
ブロックチェーン / Blockchain
ks91
PRO
0
110
AIプラットフォームを運用し続けるための可観測性
tanimuyk
4
1.2k
Featured
See All Featured
Neural Spatial Audio Processing for Sound Field Analysis and Control
skoyamalab
0
330
YesSQL, Process and Tooling at Scale
rocio
174
15k
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
baasie
0
580
New Earth Scene 8
popppiees
3
2.3k
A Tale of Four Properties
chriscoyier
163
24k
Pawsitive SEO: Lessons from My Dog (and Many Mistakes) on Thriving as a Consultant in the Age of AI
davidcarrasco
0
160
How Software Deployment tools have changed in the past 20 years
geshan
0
34k
Balancing Empowerment & Direction
lara
6
1.1k
4 Signs Your Business is Dying
shpigford
187
22k
What’s in a name? Adding method to the madness
productmarketing
PRO
24
4.1k
Marketing Yourself as an Engineer | Alaka | Gurzu
gurzu
0
210
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
360
30k
Transcript
脆弱性対応、どこで線を引くか 2026/06/17 Go Connect #14 パンダム/rymiyamoto
パンダム/rymiyamoto(@rymiyamoto129) Go をメインにWeb 系を広く浅くやってる ゆるくインターネットが好きなオタクです 近況:超かぐや姫の最終公演の予約に完全敗北した
前回のOST 、ありがとうございました
今日の話 脆弱性スキャンの全部対応は本当に必要か どこで線を引くか、判断する2 つの軸の話
検出されたものは全部潰す
ある時期、全部対応してた ECR スキャン(Inspector v2) を愚直に対応していた 内部ETL ツールの使用パッケージを全部上げた 正直しんどかった
これ、本当に必要だった?
外部公開しているか
外部 vs 内部でリスクが全然違う インターネットから叩けるかどうかで判断 攻撃者はまず社内ネットワークへの侵入が必要 同じ脆弱性でもリスクが全然違う
実際に呼ばれているコードか
govulncheck は呼び出し経路まで静的解析する Go 公式ツール(golang.org/x/vuln ) 脆弱な関数が実際に呼ばれているかまで追う 呼ばれていなければ報告に出てこない govulncheck で行う脆弱性対応 /
hon_d
govulncheck は Severity を出さない Trivy などは Critical / High /
Medium でラベリング govulncheck はラベルなし 判断は開発者が持つ、という Go らしい設計思想 Trivy
govulncheck の出力例 検出あり 検出なし === Symbol Results === Vulnerability #1:
GO-2025-XXXX Found in: golang.org/x/
[email protected]
Fixed in: golang.org/x/
[email protected]
Example traces found: #1: internal/api/handler.go:42 === Symbol Results === No vulnerabilities found.
2 軸を組み合わせた判断マトリクス govulncheck 外部公開 内部のみ 検出あり 優先対応 早めに修正 対応する 次のリリースサイクルで
検出なし 低優先 記録して様子見 今は対応不要 呼ばれたら再判断
判断を言語化する 外部公開しているか / 実際に呼ばれているコードか
実際やってきた事例として govulncheck でコードレベルの脆弱性を監視 ECR スキャン通知も入れ、コンテナイメージレベル も継続監視 ECR イメージスキャンでコンテナの脆弱性を検知する / パンダム
最後に Go Conference 2026 の CFP を出しているので、 採択されたら詳しく喋るよ
宣伝:Vue Fes Japan 2026 CFP 募集中!
おわり
rymiyamoto
ydah
tomoki10
takapy
harukasakihara
yoshiyuki_kono
amacbee
oracle4engineer
hanon52_
starfish719
taketo957
ks91
tanimuyk
skoyamalab
rocio
baasie
popppiees
chriscoyier
davidcarrasco
geshan
lara
shpigford
productmarketing
gurzu
bermonpainter
