2025年1月にrsyncで発見された6件のセキュリティ脆弱性(任意コード実行やファイル漏洩を含む)を受け、Goで実装されたミニマルなrsyncであるgokrazy/rsyncがこれらの脆弱性の影響をどう受けているか、またメモリ安全な言語Goがどのように脆弱性クラス全体を排除できるのかを詳細に分析。本稿では2025年1月と2026年5月の全12件の脆弱性をカバーし、Goランタイムのバウンドチェックが実際にヒープバッファオーバーフローを防ぐことを実証。さらに、OpenBSDのopenrsync(C言語で記述)との比較や、Linuxで利用可能な多層防御機構についても論じている。
GitHub's commit "Verified" badge checks only the committer's key, not the author field, which can be spoofed via Git env vars. Attackers can show a verified badge next to any forged identity. The defense (Vigilant Mode) is opt-in and off by default.
The author details how their Go-based rsync implementation avoids common vulnerabilities found in the original C version (like buffer overflows and symlink races) by leveraging Go's memory safety features. They highlight design choices such as avoiding unsafe code, using bounded types, and minimizing attack surface to achieve a safer file transfer tool without sacrificing compatibility.
The article presents a memory-safe implementation of rsync in Go, designed to avoid common vulnerabilities like buffer overflows and memory corruption that plague the original C version. By leveraging Go's type safety and garbage collection, the author created a minimal rsync clone that maintains core functionality while eliminating entire classes of security bugs.