Upgrade to Pro — share decks privately, control downloads, hide ads and more …

GC25 Recap: The Code You Reviewed is Not the Co...

Avatar for mazrean mazrean
October 17, 2025
Programming
450
0

GC25 Recap: The Code You Reviewed is Not the Code You Built / #newt_gophercon_tour

Avatar for mazrean

mazrean

October 17, 2025

More Decks by mazrean

See All by mazrean
瑠璃の宝石に学ぶ技術の声の聴き方 / 【劇場版】アニメから得た学びを発表会2026 #エンジニアニメ
Avatar for mazrean mazrean
0
340
Go Proposal Weekly Digestの作り方 / Go Connect #11
Avatar for mazrean mazrean
0
130
WebComponentとSSGで作る 個人開発Webフロントエンド / TechTalk #69
Avatar for mazrean mazrean
0
73
Go 1.26でのsliceのメモリアロケーション最適化 / Go 1.26 リリースパーティ #go126party
Avatar for mazrean mazrean
1
530
社会人になっても趣味開発を続けたい! / traPavilion
Avatar for mazrean mazrean
1
410
KessokuのDIにおけるgoroutineスケジューリング / golang.tokyo #41
Avatar for mazrean mazrean
0
480
作って理解するGOCACHEPROG / Go Conference 2025(Workshop)
Avatar for mazrean mazrean
0
500
実用的なGOCACHEPROG実装をするために / golang.tokyo #40
Avatar for mazrean mazrean
1
720
KessokuでDIでもgoroutineを活用する / Go Connect #6
Avatar for mazrean mazrean
0
690

Other Decks in Programming

See All in Programming
cloudnative conference 2026 flyle
Avatar for azihsoyn azihsoyn
0
160
when storing skills in S3 file
Avatar for watany watany
3
1.5k
Agentic UI in the Frontend: Architectures with Open Standards @JAX 2026 in Mainz
Avatar for Manfred Steyer manfredsteyer
PRO
0
110
GoogleCloudとterraform完全に理解した
Avatar for Terisuke terisuke
1
190
JCON - Create Agentic AI Apps, The Easy Way!
Avatar for Kevin Dubois kdubois
1
100
ついに来た!本格的なマルチクラウド時代の Google Cloud
Avatar for maroon1st maroon1st
0
400
WebAssembly を読み込むベストプラクティス 2026年春版 / Best Practices for Loading WebAssembly (Spring 2026)
Avatar for petamoriken / 森建 petamoriken
5
1.1k
20260514 - build with ai 2026 - build LINE Bot with Gemini CLI
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
390
[RubyKaigi 2026] Require Hooks
Avatar for Vladimir Dementyev palkan
1
310
クラウドネイティブなエンジニアに向ける Raycastの魅力と実際の活用事例
Avatar for Nealle nealle
2
250
(Re)make Regexp in Ruby: Democratizing internals for the JIT
Avatar for TSUYUSATO Kitsune makenowjust
3
1k
Liberating Ruby's Parser from Lexer Hacks
Avatar for ydah ydah
2
2.7k

Featured

See All Featured
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
Avatar for Sophie Logan marketingsoph
0
140
The SEO Collaboration Effect
Avatar for Kristina Bergwall kristinabergwall1
1
440
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
Avatar for Tomoya Matsuura tomoyanonymous
2
800
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
141
7.4k
Leadership Guide Workshop - DevTernity 2021
Avatar for David Neal reverentgeek
1
280
How to Align SEO within the Product Triangle To Get 
Buy-In & Support - #RIMC
Avatar for Aleyda Solis aleyda
2
1.5k
svc-hook: hooking system calls on ARM64 by binary rewriting
Avatar for Akira Moroo retrage
2
240
Design in an AI World
Avatar for tapps tapps
1
210
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.7k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
3k
Sam Torres - BigQuery for SEOs
Avatar for Tech SEO Connect techseoconnect
PRO
0
260

Transcript

  1. GC25 Recap: The Code You Reviewed is Not the Code

    You Built @mazrean GopherCon Tour 2025 報告会

  2. mazrean ▪ Goでツール等を作っている • SQL Builder GenORM • DIツールKessoku ▪

    SRE @DeNA @mazrean22 マズリーン 2

  3. Recapするセッション 3

  4. スライド未公開セッションのRecap • 発表動画公開までは内容確認できない • メモ・記憶ベースのRecap ◦ 多少流れに差がある可能性があります

  5. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツールcapslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  6. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツールcapslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  7. boltdbでのサプライチェーン攻撃 ▪ タイポスクワッティング攻撃 • パッケージのtypoを利用した攻撃 ▪ 3年以上潜伏 • Go Module

    Proxyを悪用 7 github.com/boltdb-go/bolt github.com/boltdb/bolt

  8. Go Module Proxy Goのモジュール をキャッシュ するプロキシ ▪ go.mod・コードなどをキャッシュ ▪ 依存関係の消失対策となる

    8

  9. 潜伏できた理由 1. 攻撃コードにGitタグを設定 2. go get実行 • Go Module Proxyで攻撃コードをキャッシュ

    3. 無害コードにGitタグを貼り替え → リポジトリ上 は無害 9

  10. The Code You Reviewed is Not the Code You Built

    レビューしたコードは ビルドされるコードとは限らない

  11. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツール capslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  12. capability解析ツールcapslock コードの行う特権的操作を解析するツール ▪ コードを静的解析 ▪ 行う特権的操作(capability)を特定 12 https://github.com/google/capslock

  13. capability パッケージ の行う特権的操作 ▪ 以下の12種類が検出の対象 13 CAPABILITY_FILES CAPABILITY_NETWORK CAPABILITY_RUNTIME CAPABILITY_CGO

    CAPABILITY_EXEC CAPABILITY_READ_SYSTEM_STATE CAPABILITY_MODIFY_SYSTEM_STATE CAPABILITY_OPERATING_SYSTEM CAPABILITY_SYSTEM_CALLS CAPABILITY_UNSAFE_POINTER CAPABILITY_REFLECT CAPABILITY_ARBITRARY_EXECUTION

  14. capslockの仕組み ▪ コールグラフ を推移的に解析 • 外部ライブラリも含む ▪ 特定の標準ライブラリ 関数の呼び出し検出 14

  15. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツールcapslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  16. capabilityでのサプライチェーン攻撃対策 ▪ パッケージの役割とcapabilityは関連 • ロガーでネットワークアクセスはおかしい ▪ capabilityはほぼ変化しない • 3%程度の変更でのみ変化 →

    capabilityの変化は怪しい 16

  17. capability比較 以下の2つの方法で比較可能 ▪ capslock-git-diffコマンド ▪ deps.dev 17

  18. capability比較: capslock-git-diffコマンド コミット間 のcapability比較 ▪ CIで回せる ▪ PRコメントを行うことで攻撃に気づける 18

  19. capability比較: deps.dev パッケージバージョン間 のcapability比較 ▪ パッケージ内でcapability増減を表示 ▪ パッケージ更新時に確認 19

  20. 注意点 ▪ ビルドタグで出しわけが行われる可能性 → 開発・本番環境 の両環境でチェック必要 ▪ 確実に問題が検出できるわけではない • 既に使っているcapabilityで攻撃される可能性

    • あくまでも他手段の補完 20

  21. 目次 1 Goにおけるサプライチェーン攻撃 2 capability解析ツールcapslock 3 capslockによるサプライチェーン攻撃対策 4 まとめ

  22. まとめ ▪ Go Module Proxyを利用した攻撃が存在 • リポジトリのコードとキャッシュに差が発生 • コード確認では不十分 ▪

    capslockでcapabilityの確認ができる ▪ capabilityの変化は怪しい • ほぼ変化しない ▪ capslock-git-diff・deps.devで比較可能 22