Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

GC25 Recap: The Code You Reviewed is Not the Co...

Avatar for mazrean mazrean
October 17, 2025
Programming
0
240

GC25 Recap: The Code You Reviewed is Not the Code You Built / #newt_gophercon_tour

Avatar for mazrean

mazrean

October 17, 2025
Tweet

More Decks by mazrean

See All by mazrean
社会人になっても趣味開発を続けたい! / traPavilion
Avatar for mazrean mazrean
1
220
KessokuのDIにおけるgoroutineスケジューリング / golang.tokyo #41
Avatar for mazrean mazrean
0
240
作って理解するGOCACHEPROG / Go Conference 2025(Workshop)
Avatar for mazrean mazrean
0
250
実用的なGOCACHEPROG実装をするために / golang.tokyo #40
Avatar for mazrean mazrean
1
530
KessokuでDIでもgoroutineを活用する / Go Connect #6
Avatar for mazrean mazrean
0
370
テンプレートエンジンとして使うPHP / phponshu #4
Avatar for mazrean mazrean
1
420
型付きで行うVSCode拡張機能開発 / VSCode Meetup #31
Avatar for mazrean mazrean
0
860
multipart/form-dataの省メモリパース / Go Conference 2024 Pre Party #gocon24_preparty
Avatar for mazrean mazrean
0
1.2k
インターフェースのラッパーを作る際の落とし穴 / Go Conference mini 2023
Avatar for mazrean mazrean
0
2.2k

Other Decks in Programming

See All in Programming
Pythonではじめるオープンデータ分析〜書籍の紹介と書籍で紹介しきれなかった事例の紹介〜
Avatar for Ryo YOSHI welliving
2
530
AIエンジニアリングのご紹介 / Introduction to AI Engineering
Avatar for r-kagaya rkaga
8
3.3k
Deno Tunnel を使ってみた話
Avatar for すずとも kamekyame
0
230
tparseでgo testの出力を見やすくする
Avatar for utagawa kiki utgwkk
2
270
[AtCoder Conference 2025] LLMを使った業務AHCの上⼿な解き⽅
Avatar for terry-u16 terryu16
3
590
Findy AI+の開発、運用におけるMCP活用事例
Avatar for starfish719 starfish719
0
1.7k
re:Invent 2025 のイケてるサービスを紹介する
Avatar for maroon1st maroon1st
0
150
「コードは上から下へ読むのが一番」と思った時に、思い出してほしい話
Avatar for HideyukiKitao panda728
PRO
39
26k
バックエンドエンジニアによる Amebaブログ K8s 基盤への CronJobの導入・運用経験
Avatar for suna-big sunabig
0
170
DevFest Android in Korea 2025 - 개발자 커뮤니티를 통해 얻는 가치
Avatar for Suhyeon Kim wisemuji
0
170
脳の「省エネモード」をデバッグする ~System 1(直感)と System 2(論理)の切り替え~
Avatar for HideyukiKitao panda728
PRO
0
120
AI Agent Dojo #4: watsonx Orchestrate ADK体験
Avatar for Akira Onishi (IBM) oniak3ibm
PRO
0
110

Featured

See All Featured
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
51
51k
The agentic SEO stack - context over prompts
Avatar for schlessera schlessera
0
550
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
12
1.4k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.5k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
9
1k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
230k
End of SEO as We Know It (SMX Advanced Version)
Avatar for Michael King ipullrank
2
3.8k
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
49
3.2k
How to Align SEO within the Product Triangle To Get 
Buy-In & Support - #RIMC
Avatar for Aleyda Solis aleyda
1
1.3k
How to audit for AI Accessibility on your Front & Back End
Avatar for davetheseo davetheseo
0
120
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
47
7.9k
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
340

Transcript

  1. GC25 Recap: The Code You Reviewed is Not the Code

    You Built @mazrean GopherCon Tour 2025 報告会

  2. mazrean ▪ Goでツール等を作っている • SQL Builder GenORM • DIツールKessoku ▪

    SRE @DeNA @mazrean22 マズリーン 2

  3. Recapするセッション 3

  4. スライド未公開セッションのRecap • 発表動画公開までは内容確認できない • メモ・記憶ベースのRecap ◦ 多少流れに差がある可能性があります

  5. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツールcapslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  6. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツールcapslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  7. boltdbでのサプライチェーン攻撃 ▪ タイポスクワッティング攻撃 • パッケージのtypoを利用した攻撃 ▪ 3年以上潜伏 • Go Module

    Proxyを悪用 7 github.com/boltdb-go/bolt github.com/boltdb/bolt

  8. Go Module Proxy Goのモジュール をキャッシュ するプロキシ ▪ go.mod・コードなどをキャッシュ ▪ 依存関係の消失対策となる

    8

  9. 潜伏できた理由 1. 攻撃コードにGitタグを設定 2. go get実行 • Go Module Proxyで攻撃コードをキャッシュ

    3. 無害コードにGitタグを貼り替え → リポジトリ上 は無害 9

  10. The Code You Reviewed is Not the Code You Built

    レビューしたコードは ビルドされるコードとは限らない

  11. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツール capslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  12. capability解析ツールcapslock コードの行う特権的操作を解析するツール ▪ コードを静的解析 ▪ 行う特権的操作(capability)を特定 12 https://github.com/google/capslock

  13. capability パッケージ の行う特権的操作 ▪ 以下の12種類が検出の対象 13 CAPABILITY_FILES CAPABILITY_NETWORK CAPABILITY_RUNTIME CAPABILITY_CGO

    CAPABILITY_EXEC CAPABILITY_READ_SYSTEM_STATE CAPABILITY_MODIFY_SYSTEM_STATE CAPABILITY_OPERATING_SYSTEM CAPABILITY_SYSTEM_CALLS CAPABILITY_UNSAFE_POINTER CAPABILITY_REFLECT CAPABILITY_ARBITRARY_EXECUTION

  14. capslockの仕組み ▪ コールグラフ を推移的に解析 • 外部ライブラリも含む ▪ 特定の標準ライブラリ 関数の呼び出し検出 14

  15. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツールcapslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  16. capabilityでのサプライチェーン攻撃対策 ▪ パッケージの役割とcapabilityは関連 • ロガーでネットワークアクセスはおかしい ▪ capabilityはほぼ変化しない • 3%程度の変更でのみ変化 →

    capabilityの変化は怪しい 16

  17. capability比較 以下の2つの方法で比較可能 ▪ capslock-git-diffコマンド ▪ deps.dev 17

  18. capability比較: capslock-git-diffコマンド コミット間 のcapability比較 ▪ CIで回せる ▪ PRコメントを行うことで攻撃に気づける 18

  19. capability比較: deps.dev パッケージバージョン間 のcapability比較 ▪ パッケージ内でcapability増減を表示 ▪ パッケージ更新時に確認 19

  20. 注意点 ▪ ビルドタグで出しわけが行われる可能性 → 開発・本番環境 の両環境でチェック必要 ▪ 確実に問題が検出できるわけではない • 既に使っているcapabilityで攻撃される可能性

    • あくまでも他手段の補完 20

  21. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツールcapslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  22. まとめ ▪ Go Module Proxyを利用した攻撃が存在 • リポジトリのコードとキャッシュに差が発生 • コード確認では不十分 ▪

    capslockでcapabilityの確認ができる ▪ capabilityの変化は怪しい • ほぼ変化しない ▪ capslock-git-diff・deps.devで比較可能 22