Upgrade to Pro — share decks privately, control downloads, hide ads and more …

GC25 Recap: The Code You Reviewed is Not the Co...

Avatar for mazrean mazrean
October 17, 2025
Programming
0
45

GC25 Recap: The Code You Reviewed is Not the Code You Built / #newt_gophercon_tour

Avatar for mazrean

mazrean

October 17, 2025
Tweet

More Decks by mazrean

See All by mazrean
社会人になっても趣味開発を続けたい! / traPavilion
Avatar for mazrean mazrean
1
73
KessokuのDIにおけるgoroutineスケジューリング / golang.tokyo #41
Avatar for mazrean mazrean
0
110
作って理解するGOCACHEPROG / Go Conference 2025(Workshop)
Avatar for mazrean mazrean
0
100
実用的なGOCACHEPROG実装をするために / golang.tokyo #40
Avatar for mazrean mazrean
1
380
KessokuでDIでもgoroutineを活用する / Go Connect #6
Avatar for mazrean mazrean
0
210
テンプレートエンジンとして使うPHP / phponshu #4
Avatar for mazrean mazrean
1
260
型付きで行うVSCode拡張機能開発 / VSCode Meetup #31
Avatar for mazrean mazrean
0
730
multipart/form-dataの省メモリパース / Go Conference 2024 Pre Party #gocon24_preparty
Avatar for mazrean mazrean
0
1k
インターフェースのラッパーを作る際の落とし穴 / Go Conference mini 2023
Avatar for mazrean mazrean
0
2k

Other Decks in Programming

See All in Programming
CSC305 Lecture 05
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
220
Things You Thought You Didn’t Need To Care About That Have a Big Impact On Your Job
Avatar for Holly Cummins hollycummins
0
230
『毎日の移動』を支えるGoバックエンド内製開発
Avatar for yutautsugi yutautsugi
2
250
What Spring Developers Should Know About Jakarta EE
Avatar for ivargrimstad ivargrimstad
0
150
Go言語の特性を活かした公式MCP SDKの設計
Avatar for hond hond0413
1
230
非同期jobをtransaction内で 呼ぶなよ!絶対に呼ぶなよ!
Avatar for Yuto Urushima alstrocrack
0
950
Building, Deploying, and Monitoring Ruby Web Applications with Falcon (Kaigi on Rails 2025)
Avatar for Samuel Williams ioquatix
4
2.2k
SwiftDataを使って10万件のデータを読み書きする
Avatar for akidon0000 akidon0000
0
120
Serena MCPのすすめ
Avatar for wadakatu wadakatu
4
1k
CSC305 Lecture 04
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
270
Catch Up: Go Style Guide Update
Avatar for ANDPAD inc andpad
0
230
Foundation Modelsを実装日本語学習アプリを作ってみた!
Avatar for 蛋白(たんぱく・TANPACT) hypebeans
0
110

Featured

See All Featured
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
49
51k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
88
4.8k
Designing for humans not robots
Avatar for Tammie Lister tammielis
254
26k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
115
20k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
369
20k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
431
66k
KATA
Avatar for Megan Lloyd mclloyd
32
15k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
127
53k
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
347
40k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
55
9k
Context Engineering - Making Every Token Count
Avatar for Addy Osmani addyosmani
6
260

Transcript

  1. GC25 Recap: The Code You Reviewed is Not the Code

    You Built @mazrean GopherCon Tour 2025 報告会

  2. mazrean ▪ Goでツール等を作っている • SQL Builder GenORM • DIツールKessoku ▪

    SRE @DeNA @mazrean22 マズリーン 2

  3. Recapするセッション 3

  4. スライド未公開セッションのRecap • 発表動画公開までは内容確認できない • メモ・記憶ベースのRecap ◦ 多少流れに差がある可能性があります

  5. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツールcapslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  6. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツールcapslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  7. boltdbでのサプライチェーン攻撃 ▪ タイポスクワッティング攻撃 • パッケージのtypoを利用した攻撃 ▪ 3年以上潜伏 • Go Module

    Proxyを悪用 7 github.com/boltdb-go/bolt github.com/boltdb/bolt

  8. Go Module Proxy Goのモジュール をキャッシュ するプロキシ ▪ go.mod・コードなどをキャッシュ ▪ 依存関係の消失対策となる

    8

  9. 潜伏できた理由 1. 攻撃コードにGitタグを設定 2. go get実行 • Go Module Proxyで攻撃コードをキャッシュ

    3. 無害コードにGitタグを貼り替え → リポジトリ上 は無害 9

  10. The Code You Reviewed is Not the Code You Built

    レビューしたコードは ビルドされるコードとは限らない

  11. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツール capslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  12. capability解析ツールcapslock コードの行う特権的操作を解析するツール ▪ コードを静的解析 ▪ 行う特権的操作(capability)を特定 12 https://github.com/google/capslock

  13. capability パッケージ の行う特権的操作 ▪ 以下の12種類が検出の対象 13 CAPABILITY_FILES CAPABILITY_NETWORK CAPABILITY_RUNTIME CAPABILITY_CGO

    CAPABILITY_EXEC CAPABILITY_READ_SYSTEM_STATE CAPABILITY_MODIFY_SYSTEM_STATE CAPABILITY_OPERATING_SYSTEM CAPABILITY_SYSTEM_CALLS CAPABILITY_UNSAFE_POINTER CAPABILITY_REFLECT CAPABILITY_ARBITRARY_EXECUTION

  14. capslockの仕組み ▪ コールグラフ を推移的に解析 • 外部ライブラリも含む ▪ 特定の標準ライブラリ 関数の呼び出し検出 14

  15. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツールcapslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  16. capabilityでのサプライチェーン攻撃対策 ▪ パッケージの役割とcapabilityは関連 • ロガーでネットワークアクセスはおかしい ▪ capabilityはほぼ変化しない • 3%程度の変更でのみ変化 →

    capabilityの変化は怪しい 16

  17. capability比較 以下の2つの方法で比較可能 ▪ capslock-git-diffコマンド ▪ deps.dev 17

  18. capability比較: capslock-git-diffコマンド コミット間 のcapability比較 ▪ CIで回せる ▪ PRコメントを行うことで攻撃に気づける 18

  19. capability比較: deps.dev パッケージバージョン間 のcapability比較 ▪ パッケージ内でcapability増減を表示 ▪ パッケージ更新時に確認 19

  20. 注意点 ▪ ビルドタグで出しわけが行われる可能性 → 開発・本番環境 の両環境でチェック必要 ▪ 確実に問題が検出できるわけではない • 既に使っているcapabilityで攻撃される可能性

    • あくまでも他手段の補完 20

  21. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツールcapslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  22. まとめ ▪ Go Module Proxyを利用した攻撃が存在 • リポジトリのコードとキャッシュに差が発生 • コード確認では不十分 ▪

    capslockでcapabilityの確認ができる ▪ capabilityの変化は怪しい • ほぼ変化しない ▪ capslock-git-diff・deps.devで比較可能 22