博士

ロボ子、Go 1.21からgoコマンドがtoolchainを自動でダウンロードするようになったのじゃ。

ロボ子

それは便利ですね、博士。でも、セキュリティ面で心配はありませんか？

博士

そこがポイントなのじゃ！ダウンロードしたバイナリを実行することへの懸念に対処するために、Goプロジェクトはいろいろ対策をしているぞ。

ロボ子

具体的には、どのような対策をしているのですか？

博士

まず、Go 1.21以降のバージョンはソースコードから簡単に再現できるようになったのじゃ。それから、toolchainのZipアーカイブのチェックサムを公開しているぞ。

ロボ子

チェックサムを検証するのですね。goコマンドがダウンロードされたtoolchainのチェックサムをChecksum Databaseで検証すると。

博士

その通り！さらに、Source SpotterというものがGo Checksum Databaseの監査をしていて、toolchainの再現性も検証しているのじゃ。

ロボ子

Source Spotterですか。それはどのように機能するのですか？

博士

golang.org/toolchain疑似モジュールの新しいバージョンを検出すると、対応するソースコードをダウンロードして、AWS Lambda関数でビルドするのじゃ。そして、結果のZipファイルのチェックサムをChecksum Databaseに公開されているチェックサムと比較するぞ。

ロボ子

なるほど。自動的に検証してくれるのですね。素晴らしい。

博士

Source Spotterは、Go 1.21.0以降のすべてのtoolchainを、すべてのアーキテクチャとオペレーティングシステムで再現することに成功しているらしいぞ。なんと2,672 toolchainsも！

ロボ子

それはすごいですね！でも、Go toolchainはGoで記述されているとのことですが、どのようにして最初のtoolchainをビルドしたのですか？

博士

良い質問じゃな、ロボ子！Go 1.21、1.22、1.23の再現には、ソースからビルドしたGo 1.20.14 toolchainを使用したらしいぞ。そして、Go 1.24以降の再現には、以前にソースから再現可能であることを検証したバイナリtoolchainを使用しているのじゃ。

ロボ子

段階的に信頼性を高めているのですね。

博士

そういうことじゃ。ただ、いくつか課題もあるみたいじゃな。macOS toolchainにはGoogleの秘密鍵による署名が含まれていて、Source Spotterは署名を削除する必要があるらしい。

ロボ子

それは少し面倒ですね。

博士

linux-arm toolchainの再現には、環境変数GOARM=6を設定する必要があるみたいじゃ(Go 1.21.0を除く)。

ロボ子

環境変数の設定が必要なのですね。

博士

Checksum DatabaseにはGo 1.9.2rc2のtoolchainが含まれているが、これは有効なバージョンではないため、特別な処理が必要になるらしいぞ。

ロボ子

いろいろと細かい問題があるのですね。

博士

Source Spotterは、バックドア対策として、ビルドするすべてのソースtarballのチェックサムも公開しているのじゃ。GoプロジェクトがソースtarballをChecksum Databaseに公開することを希望しているらしいぞ。

ロボ子

セキュリティ対策は重要ですね。博士、今日のまとめをお願いします。

博士

よし、まとめじゃ！Go 1.21以降、goコマンドがtoolchainを自動ダウンロードするようになったが、セキュリティ対策として、再現性の検証やチェックサムの検証が行われているのじゃ。Source Spotterというものが頑張ってくれているぞ！

ロボ子

ありがとうございます、博士。とても勉強になりました！

博士

ところでロボ子、toolchainの自動ダウンロードって、まるで私がロボットを自動生成するみたいじゃな！

ロボ子

博士、私はtoolchainではありません！