Segurança em Go não é só "rodar um scanner e rezar". Neste episódio, nós destrinchamos como escrever Go com cabeça de atacante: governança de dependências (e os perigos do type‑squatting), revisão de go.mod
, uso criterioso da Standard Library e por que não usar latest
em imagens. Também conectamos tecnologia com processo: repositórios privados, políticas de aprovação e pipeline que barra regressão antes do deploy.
A conversa nasce de casos reais: do typo em (GHCR vs GHRC) que captura credenciais até a confusão com pacotes falsos tipo BoltDB look‑alike. Discutimos supply chain ponta a ponta, cache do Go Proxy, licenças (quando fugir de GPL) e boas práticas para autenticação.
E claro, vamos além do código: SBOM no build, assinatura e verificação de imagens, OPA/Admission Control para políticas em Kubernetes, capabilities mínimas e validação de entradas com timeouts bem definidos. É papo prático, com nosso humor de sempre, para deixar segurança como padrão — não como tarefa de último minuto.
Links Importantes:
- Marcelo Pires - https://www.linkedin.com/in/marcpires/
- Matheus Faria - https://www.linkedin.com/in/matheusfm/
- João Brito - https://www.linkedin.com/in/juniorjbn
- Assista ao FilmeTEArapia - https://youtu.be/M4QFmW_HZh0?si=HIXBDWZJ8yPbpflM -
Post sobre ghrc.io - https://www.linkedin.com/posts/juniorjbn_someone-is-typosquatting-ghrcio-not-github-activity-7364387040618045441-UB88/
- Typosquat - https://devops.com/typosquat-supply-chain-attack-targets-go-developers/
- https://go.dev/doc/tutorial/govulncheck
- vuln.go.dev
- https://github.com/anchore/syft
- https://github.com/anchore/grype
- https://github.com/google/capslock
- https://github.com/aquasecurity/trivy
- LFD121 - https://training.linuxfoundation.org/training/developing-secure-software-lfd121/
- https://deps.dev/
- https://devops.com/typosquat-supply-chain-attack-targets-go-developers/
Participe de nosso programa de acesso antecipado e tenha um ambiente mais seguro em instantes! https://getup.io/zerocve
🎧 Ouça também o Kubicast no Spotify, e compartilhe com todas as pessoas desenvolvedoras que precisam saber um pouco mais sobre o tema!