KUBICAST #183 - Desenvolvimento Seguro em GO

Segurança em Go não é só "rodar um scanner e rezar". Neste episódio, nós destrinchamos como escrever Go com cabeça de atacante: governança de dependências (e os perigos do type‑squatting), revisão de go.mod, uso criterioso da Standard Library e por que não usar latest em imagens. Também conectamos tecnologia com processo: repositórios privados, políticas de aprovação e pipeline que barra regressão antes do deploy.

A conversa nasce de casos reais: do typo em (GHCR vs GHRC) que captura credenciais até a confusão com pacotes falsos tipo BoltDB look‑alike. Discutimos supply chain ponta a ponta, cache do Go Proxy, licenças (quando fugir de GPL) e boas práticas para autenticação.

E claro, vamos além do código: SBOM no build, assinatura e verificação de imagens, OPA/Admission Control para políticas em Kubernetes, capabilities mínimas e validação de entradas com timeouts bem definidos. É papo prático, com nosso humor de sempre, para deixar segurança como padrão — não como tarefa de último minuto.

Links Importantes:

- Marcelo Pires - https://www.linkedin.com/in/marcpires/

- Matheus Faria - https://www.linkedin.com/in/matheusfm/

- João Brito - https://www.linkedin.com/in/juniorjbn

- Assista ao FilmeTEArapia - https://youtu.be/M4QFmW_HZh0?si=HIXBDWZJ8yPbpflM -

Post sobre ghrc.io - https://www.linkedin.com/posts/juniorjbn_someone-is-typosquatting-ghrcio-not-github-activity-7364387040618045441-UB88/

- Typosquat - https://devops.com/typosquat-supply-chain-attack-targets-go-developers/

- https://go.dev/doc/tutorial/govulncheck

- vuln.go.dev

- https://github.com/anchore/syft

- https://github.com/anchore/grype

- https://github.com/google/capslock