panicと向き合うGo開発 - nilawayで探る見逃されるnil参照とその対策

Transcript

1. 1 hata(@sho-hata) 2025/09/28 panicと向き合う Go開発 - nilawayで探る見逃 されるnil参照とその対策 Go Conference

   2025

2. 2 2 software engineer at Kanmu, Inc. Hata GitHub @sho-hata

   X @sho_hata_ 自己紹介 Go Conference 3年連続登壇！ Goコミュニティに関われて嬉しいです ʕ◔ϖ◔ʔ

3. 3 Kanmu ❤ Go 誰でもすぐに作って買い物できる Visaプリカアプリ 手元の資産形成に活用できる クレジットカード AI審査だからオンライン完結できる 新しい資金調達サービス

   これらの Fintech サービスは Go で書かれています

4. 4 nil参照について話します

5. 5 panicがおこるのはどこ？

6. 6 panicがおこるのはここ

7. 7 panicがおこるのはどこ？

8. 8 panicがおこるのはここ

9. 9 実は...

10. 10 見逃される nil参照をどう防ぐか について話します

11. 11 目次 INDEX 1. panicとnil参照の概要 2. nil参照を事前に検出することは難しい 3. 見逃される nilを検出するツール：

    nilawayの紹介 4. nilawayはどうやって nil参照を検出するのか 5. nil参照検出の限界とこれから

12. 12 nil参照が発生するとどうなる？

13. 13 Goランタイムは panicする

14. 14 • 通常の実行を停止 • ゴルーチン内での全ての遅延関数を呼び出す • ログメッセージを表示してクラッシュ panicするとどうなる？

15. 15 • 不正なポインタへのアクセスにつながる ◦ →セキュリティリスク nil参照したときに、もし panicしないとどうなる？

16. 16 とはいえ、 panicが起きると処理が止まって困る →Dos（サービス拒否攻撃）につながることも ref: CVE-2020-29652

17. 17 nil参照はコンパイル時には検出されない →静的解析で防ぎたい

18. 18 nil参照を防ぐ静的解析ツール

19. 19 nil参照検出の難しさ 「このノードが ⚪⚪ならエラー」といった単純ルールでは不十分 → 変数への代入とその後の利用まで追跡する必要がある

20. 20 そもそも、 nil参照を完全に検出することはできな い nil参照チェッカーは偽陽性があったり、 見逃す箇所があることを受け入れている G. Ramalingam. 1994. The

    undecidability of aliasing. ACM Trans. Program. Lang. Syst. 16, 5 (Sept. 1994), 1467–1471. https://doi.org/10.1145/186025.186041

21. 21 Go凖標準の nil参照チェックツール： nilness • go vet に含まれないスタンドアロンな静的解析ツール • 検証するスコープは関数

    • プログラムを静的単一代入形式（ SSA）という走査グラフに 変換。nil変数を追跡して、 nil参照を検出 https://github.com/golang/tools/blob/master/go/analysis/passes/nilness/nilness.go#L53

22. 22 Go凖標準の nil参照チェックツール： nilness

23. 23 見逃される nil参照 ※nil参照チェッカー以外の静的解析を併用していない前提です

24. 24 関数・パッケージを跨いだ nil参照

25. 25 関数、パッケージをまたいだ nil参照

26. 26 関数、パッケージをまたいだ nil参照

27. 27 関数、パッケージをまたいだ nil参照

28. 28 関数、パッケージをまたいだ nil参照 ・err != nilなら有効な値を返す ・必須のエラーチェックが nilチェックを兼ねている …という前提。 https://github.com/golang/tools/blob/master/go/analysis/passes/nilness/nilness.go#L53

29. 29 関数、パッケージをまたいだ nil参照 ・err != nilなら有効な値を返す ・必須のエラーチェックが nilチェックを兼ねている …という前提 が実装不備などによって覆されると、実行時まで

    nil参照を検知できない https://github.com/golang/tools/blob/master/go/analysis/passes/nilness/nilness.go#L53

30. 30 uber-go/nilaway

31. 31 uber-go/nilaway • Uber作の静的解析ツール • スタンドアロンで動く • ※ 現在開発中のステータス ◦

    誤検知や互換性のない変更が発生する可能性に注意

32. 32 どこがすごい？ →条件分岐・関数やパッケージの境界を跨いで nilフローを追 跡し、nil参照を報告してくれる

33. 33 関数、パッケージをまたいだ nil参照

34. 34 技術のキモはどこ？ プログラム中の nil値が、どこから来てどこへ行くのかをモデル 化 nilが入りうる箇所から、 nilが入ってはいけない箇所に nil値が 流れている部分（＝矛盾）を見つける

35. 35 ・nilが入りうる箇所（ →nillable制約）の次も nilが入りうる ・nilが入ってはいけない箇所（ →non nil制約）の前も nilが入ってはいけない 2-SAT問題を適用している

36. 36 nillable制約・non nil 制約をマーク

37. 37 nilの発生箇所・ non nil 制約から条件を伝播

38. 38 誤検知もある

39. 39 ケース：net/http の Client.Do() の返り値： resp.Body

40. 40 ケース：net/http の Client.Do() の返り値： resp.Body func (c *Client) do(req

    *Request) ステータスコード 300台のときに errorがnil、Bodyがnilで返る仕様

41. 41 うまくつきあっていくには リファクタリング ・ちゃんと nilチェックをする 走査範囲の指定 ・ -include-pkgs="<YOUR_PKG_PREFIX> nolintディレクティブ 「NilAway:

    Practical Nil Panic Detection for Go」- Uber Engineering Blog

42. 42 うまくつきあっていくには 実際に実行してみると、パッケージ側の実装不備が見つかったりする プロダクトのコードの問題ではないのに、 nolint 付与する？ →プロダクトを構成するパッケージの PRを送ったりする草の根活動をしていく とはいえ、 nolintディレクティブを付与していくのか

    ...?

43. 43 まとめ

44. 44 • nil参照検出の静的解析は、変数への代入とその後の利用まで追跡する必要 があり特殊 • 実行時まで見逃される nil参照として、関数・パッケージを跨ぐパターンがある • nilawayで大半のnil参照を防ぐことができる •

    擬陽性はアノテーションによる回避、もしくはリファクタリング機運

45. 45 参考資料 • 「Goのnil panicを防ぐ静的解析ツール：nilaway」 - zenn @sho-hata • 「NilAway:

    Practical Nil Panic Detection for Go」- Uber Engineering Blog • 「NilAway による静的解析で「10 億ドル」を節約する #kyotogo / Kyoto Go 56th」- @y_taka_23 • CVE-2020-29652 • G. Ramalingam. 1994. The undecidability of aliasing. ACM Trans. Program. Lang. Syst. 16, 5 (Sept. 1994), 1467–1471. https://doi.org/10.1145/186025.186041