$30 off During Our Annual Pro Sale. View Details »

GC25 Recap: The Code You Reviewed is Not the Co...

Avatar for mazrean mazrean
October 17, 2025
Programming
0
180

GC25 Recap: The Code You Reviewed is Not the Code You Built / #newt_gophercon_tour

Avatar for mazrean

mazrean

October 17, 2025
Tweet

More Decks by mazrean

See All by mazrean
社会人になっても趣味開発を続けたい! / traPavilion
Avatar for mazrean mazrean
1
160
KessokuのDIにおけるgoroutineスケジューリング / golang.tokyo #41
Avatar for mazrean mazrean
0
170
作って理解するGOCACHEPROG / Go Conference 2025(Workshop)
Avatar for mazrean mazrean
0
180
実用的なGOCACHEPROG実装をするために / golang.tokyo #40
Avatar for mazrean mazrean
1
460
KessokuでDIでもgoroutineを活用する / Go Connect #6
Avatar for mazrean mazrean
0
290
テンプレートエンジンとして使うPHP / phponshu #4
Avatar for mazrean mazrean
1
350
型付きで行うVSCode拡張機能開発 / VSCode Meetup #31
Avatar for mazrean mazrean
0
800
multipart/form-dataの省メモリパース / Go Conference 2024 Pre Party #gocon24_preparty
Avatar for mazrean mazrean
0
1.1k
インターフェースのラッパーを作る際の落とし穴 / Go Conference mini 2023
Avatar for mazrean mazrean
0
2.1k

Other Decks in Programming

See All in Programming
AIと協働し、イベントソーシングとアクターモデルで作る後悔しないアーキテクチャ Regret-Free Architecture with AI, Event Sourcing, and Actors
Avatar for Tomohisa Takaoka tomohisa
5
16k
Full-Cycle Reactivity in Angular: SignalStore mit Signal Forms und Resources
Avatar for Manfred Steyer manfredsteyer
PRO
0
170
20251127_ぼっちのための懇親会対策会議
Avatar for kokamoto01 kokamoto01_metaps
2
370
Evolving NEWT’s TypeScript Backend for the AI-Driven Era
Avatar for Rodrigo Ramirez xpromx
0
240
TypeScriptで設計する 堅牢さとUXを両立した非同期ワークフローの実現
Avatar for Matsumoto Moeka moeka__c
6
2.8k
ViewファーストなRailsアプリ開発のたのしさ
Avatar for sugiwe sugiwe
0
330
AIコードレビューがチームの"文脈"を 読めるようになるまで
Avatar for Takumi Maruyama marutaku
0
250
社内オペレーション改善のためのTypeScript / TSKaigi Hokuriku 2025
Avatar for dachi023 dachi023
1
300
Module Harmony
Avatar for petamoriken / 森建 petamoriken
2
600
Building AI with AI
Avatar for Ines Montani inesmontani
PRO
1
460
TypeScript 5.9 で使えるようになった import defer でパフォーマンス最適化を実現する
Avatar for おおいし bicstone
1
680
Combinatorial Interview Problems with Backtracking Solutions - From Imperative Procedural Programming to Declarative Functional Programming - Part 1
Avatar for Philip Schwarz philipschwarz
PRO
0
120

Featured

See All Featured
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
140
34k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
58
6.1k
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
210
24k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
249
1.3M
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
35
2.3k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
527
40k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
34
2.5k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
333
24k
It's Worth the Effort
Avatar for 3n 3n
187
29k
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
91
590k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
60
9.6k
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
57
6.6k

Transcript

  1. GC25 Recap: The Code You Reviewed is Not the Code

    You Built @mazrean GopherCon Tour 2025 報告会

  2. mazrean ▪ Goでツール等を作っている • SQL Builder GenORM • DIツールKessoku ▪

    SRE @DeNA @mazrean22 マズリーン 2

  3. Recapするセッション 3

  4. スライド未公開セッションのRecap • 発表動画公開までは内容確認できない • メモ・記憶ベースのRecap ◦ 多少流れに差がある可能性があります

  5. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツールcapslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  6. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツールcapslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  7. boltdbでのサプライチェーン攻撃 ▪ タイポスクワッティング攻撃 • パッケージのtypoを利用した攻撃 ▪ 3年以上潜伏 • Go Module

    Proxyを悪用 7 github.com/boltdb-go/bolt github.com/boltdb/bolt

  8. Go Module Proxy Goのモジュール をキャッシュ するプロキシ ▪ go.mod・コードなどをキャッシュ ▪ 依存関係の消失対策となる

    8

  9. 潜伏できた理由 1. 攻撃コードにGitタグを設定 2. go get実行 • Go Module Proxyで攻撃コードをキャッシュ

    3. 無害コードにGitタグを貼り替え → リポジトリ上 は無害 9

  10. The Code You Reviewed is Not the Code You Built

    レビューしたコードは ビルドされるコードとは限らない

  11. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツール capslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  12. capability解析ツールcapslock コードの行う特権的操作を解析するツール ▪ コードを静的解析 ▪ 行う特権的操作(capability)を特定 12 https://github.com/google/capslock

  13. capability パッケージ の行う特権的操作 ▪ 以下の12種類が検出の対象 13 CAPABILITY_FILES CAPABILITY_NETWORK CAPABILITY_RUNTIME CAPABILITY_CGO

    CAPABILITY_EXEC CAPABILITY_READ_SYSTEM_STATE CAPABILITY_MODIFY_SYSTEM_STATE CAPABILITY_OPERATING_SYSTEM CAPABILITY_SYSTEM_CALLS CAPABILITY_UNSAFE_POINTER CAPABILITY_REFLECT CAPABILITY_ARBITRARY_EXECUTION

  14. capslockの仕組み ▪ コールグラフ を推移的に解析 • 外部ライブラリも含む ▪ 特定の標準ライブラリ 関数の呼び出し検出 14

  15. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツールcapslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  16. capabilityでのサプライチェーン攻撃対策 ▪ パッケージの役割とcapabilityは関連 • ロガーでネットワークアクセスはおかしい ▪ capabilityはほぼ変化しない • 3%程度の変更でのみ変化 →

    capabilityの変化は怪しい 16

  17. capability比較 以下の2つの方法で比較可能 ▪ capslock-git-diffコマンド ▪ deps.dev 17

  18. capability比較: capslock-git-diffコマンド コミット間 のcapability比較 ▪ CIで回せる ▪ PRコメントを行うことで攻撃に気づける 18

  19. capability比較: deps.dev パッケージバージョン間 のcapability比較 ▪ パッケージ内でcapability増減を表示 ▪ パッケージ更新時に確認 19

  20. 注意点 ▪ ビルドタグで出しわけが行われる可能性 → 開発・本番環境 の両環境でチェック必要 ▪ 確実に問題が検出できるわけではない • 既に使っているcapabilityで攻撃される可能性

    • あくまでも他手段の補完 20

  21. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツールcapslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  22. まとめ ▪ Go Module Proxyを利用した攻撃が存在 • リポジトリのコードとキャッシュに差が発生 • コード確認では不十分 ▪

    capslockでcapabilityの確認ができる ▪ capabilityの変化は怪しい • ほぼ変化しない ▪ capslock-git-diff・deps.devで比較可能 22