Segurança em Go não é só "rodar um scanner e rezar". Neste episódio, nós destrinchamos como escrever Go com cabeça de atacante: governança de dependências (e os perigos do type‑squatting), revisão de go.mod, uso criterioso da Standard Library e por que não usar latest em imagens. Também conectamos tecnologia com processo: repositórios privados, políticas de aprovação e pipeline que barra regressão antes do deploy.

A conversa nasce de casos reais: do typo em (GHCR vs GHRC) que captura credenciais até a confusão com pacotes falsos tipo BoltDB look‑alike. Discutimos supply chain ponta a ponta, cache do Go Proxy, licenças (quando fugir de GPL) e boas práticas para autenticação.

E claro, vamos além do código: SBOM no build, assinatura e verificação de imagens, OPA/Admission Control para políticas em Kubernetes, capabilities mínimas e validação de entradas com timeouts bem definidos. É papo prático, com nosso humor de sempre, para deixar segurança como padrão — não como tarefa de último minuto.



Links Importantes:

- Marcelo Pires - https://www.linkedin.com/in/marcpires/

- Matheus Faria - https://www.linkedin.com/in/matheusfm/

- João Brito - https://www.linkedin.com/in/juniorjbn

- Assista ao FilmeTEArapia - https://youtu.be/M4QFmW_HZh0?si=HIXBDWZJ8yPbpflM -

Post sobre ghrc.io - https://www.linkedin.com/posts/juniorjbn_someone-is-typosquatting-ghrcio-not-github-activity-7364387040618045441-UB88/

- Typosquat - https://devops.com/typosquat-supply-chain-attack-targets-go-developers/

- https://go.dev/doc/tutorial/govulncheck

- vuln.go.dev

- https://github.com/anchore/syft

- https://github.com/anchore/grype

- https://github.com/google/capslock

- https://github.com/aquasecurity/trivy

- LFD121 - https://training.linuxfoundation.org/training/developing-secure-software-lfd121/

- https://deps.dev/

- https://devops.com/typosquat-supply-chain-attack-targets-go-developers/


Participe de nosso programa de acesso antecipado e tenha um ambiente mais seguro em instantes! https://getup.io/zerocve

🎧 Ouça também o Kubicast no Spotify, e compartilhe com todas as pessoas desenvolvedoras que precisam saber um pouco mais sobre o tema!

Social

Contact us

Almeda Campinas 802, CJ 12, Jardim Paulista,

São Paulo - SP, 01404-001

Opportunities

Our content

Social

Contact us

Almeda Campinas 802, CJ 12, Jardim Paulista,

São Paulo - SP, 01404-001

Opportunities

Our content

Social

Contact us

Almeda Campinas 802, CJ 12, Jardim Paulista,

São Paulo - SP, 01404-001

Opportunities

Our content