Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性対応、どこで線を引くか
Search
ryoji miyamoto
June 17, 2026
Technology
130
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
脆弱性対応、どこで線を引くか
2026/06/17 Go Connect #14
ryoji miyamoto
June 17, 2026
More Decks by ryoji miyamoto
See All by ryoji miyamoto
トモニテでEKSからECSに乗り換えによるコスト削減
rymiyamoto
0
570
go1.22からのテストカバレッジとの付き合い方
rymiyamoto
1
1.9k
Other Decks in Technology
See All in Technology
Ruby::Boxでできること、Refinementsでできること
joker1007
3
410
Microsoft Build Keynoteふりかえり
tomokusaba
0
120
AmazonRoute 53ではじめてのドメイン取得!HTTPS化までの道のりを整理してみた
usanchuu
3
120
マーケットプレイス版Oracle WebCenter Content For OCI
oracle4engineer
PRO
5
1.8k
Reliability in the Age of AI: Engineering for AI Velocity
rrreeeyyy
0
110
「気づいたら仕事が終わっている」バクラクAIエージェント本番運用の裏側 / layerx-bakuraku-aie2026
yuya4
19
11k
Dario Amodi『Policy on the AI Exponential』を理解する
nagatsu
0
210
中期計画、2回作ってみた ~業務委託と正社員、両方の視点から~
demaecan
1
510
Platform Engineering as a Product: Criteria for Improvement and Multi-Tenant Design
kumorn5s
0
530
もりもり新機能を一挙紹介! AgentCoreに入門して、AWS上にAIエージェントを構築しよう
minorun365
PRO
6
870
AIの性能が向上しても未解決な組織の重大問題は何か?/An Unsolved Organizational Problem in the Age of AI
moriyuya
3
520
非定型業務をAI slackbotで自動化する ~ 社内要望を自動壁打ちするbotを作った ~/automating-ad-hoc-work-with-ai-slackbot
shibayu36
0
540
Featured
See All Featured
The Illustrated Guide to Node.js - THAT Conference 2024
reverentgeek
1
380
Believing is Seeing
oripsolob
1
140
Designing for humans not robots
tammielis
254
26k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Making Projects Easy
brettharned
120
6.7k
Become a Pro
speakerdeck
PRO
31
6k
Design in an AI World
tapps
1
230
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
200
Context Engineering - Making Every Token Count
addyosmani
9
950
From π to Pie charts
rasagy
0
200
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
430
RailsConf 2023
tenderlove
30
1.5k
Transcript
脆弱性対応、どこで線を引くか 2026/06/17 Go Connect #14 パンダム/rymiyamoto
パンダム/rymiyamoto(@rymiyamoto129) Go をメインにWeb 系を広く浅くやってる ゆるくインターネットが好きなオタクです 近況:超かぐや姫の最終公演の予約に完全敗北した
前回のOST 、ありがとうございました
今日の話 脆弱性スキャンの全部対応は本当に必要か どこで線を引くか、判断する2 つの軸の話
検出されたものは全部潰す
ある時期、全部対応してた ECR スキャン(Inspector v2) を愚直に対応していた 内部ETL ツールの使用パッケージを全部上げた 正直しんどかった
これ、本当に必要だった?
外部公開しているか
外部 vs 内部でリスクが全然違う インターネットから叩けるかどうかで判断 攻撃者はまず社内ネットワークへの侵入が必要 同じ脆弱性でもリスクが全然違う
実際に呼ばれているコードか
govulncheck は呼び出し経路まで静的解析する Go 公式ツール(golang.org/x/vuln ) 脆弱な関数が実際に呼ばれているかまで追う 呼ばれていなければ報告に出てこない govulncheck で行う脆弱性対応 /
hon_d
govulncheck は Severity を出さない Trivy などは Critical / High /
Medium でラベリング govulncheck はラベルなし 判断は開発者が持つ、という Go らしい設計思想 Trivy
govulncheck の出力例 検出あり 検出なし === Symbol Results === Vulnerability #1:
GO-2025-XXXX Found in: golang.org/x/
[email protected]
Fixed in: golang.org/x/
[email protected]
Example traces found: #1: internal/api/handler.go:42 === Symbol Results === No vulnerabilities found.
2 軸を組み合わせた判断マトリクス govulncheck 外部公開 内部のみ 検出あり 優先対応 早めに修正 対応する 次のリリースサイクルで
検出なし 低優先 記録して様子見 今は対応不要 呼ばれたら再判断
判断を言語化する 外部公開しているか / 実際に呼ばれているコードか
実際やってきた事例として govulncheck でコードレベルの脆弱性を監視 ECR スキャン通知も入れ、コンテナイメージレベル も継続監視 ECR イメージスキャンでコンテナの脆弱性を検知する / パンダム
最後に Go Conference 2026 の CFP を出しているので、 採択されたら詳しく喋るよ
宣伝:Vue Fes Japan 2026 CFP 募集中!
おわり
rymiyamoto
joker1007
tomokusaba
usanchuu
oracle4engineer
rrreeeyyy
yuya4
nagatsu
demaecan
kumorn5s
minorun365
moriyuya
shibayu36
reverentgeek
oripsolob
tammielis
samlambert
brettharned
speakerdeck
tapps
ryanjones
addyosmani
rasagy
mfonobong
tenderlove
