CDIC 2023

ระวังให้ดีก่อนใช้ นักวิจัยพบ 21% ของ Open Source Serverless Application มีช่องโหว่ความรุนแรงระดับสูงสุด

PureSec ได้ทำการตรวจสอบ Source Code ของ Open Source Serverless Application และพบว่ากว่า 21% มีช่องโหว่ความรุนแรงระดับสูงสุด ที่อาจเปิดให้ผู้โจมตีเข้ามาเจาะระบบได้

 

Credit: ShutterStock.com

ท่ามกลางกระแสของ Serverless Architectures ที่กำลังค่อยๆ เป็นที่นิยมในเหล่านักพัฒนากันมากขึ้นเรื่อยๆ ในทุกวันนี้ ก็มีโครงการ Open Source ถูกพัฒนาขึ้นมาเพื่อใช้งานบนสถาปัตยกรรม Serverless Architectures กันมากขึ้นเรื่อยๆ ซึ่งประเด็นด้าน Security บน Serverless เองก็ถือว่าเป็นสิ่งที่จะละเลยไปไม่ได้เช่นกัน

PureSec ได้สรุปตัวเลขและประเด็นที่น่าสนใจจากการตรวจสอบโครงการ Open Source Serverless Application จำนวน 1,000 โครงการ ดังต่อไปนี้

  • 21% มีช่องโหว่ความรุนแรงระดับสูงสุด หรือตั้งค่าการทำงานที่ไม่ถูกต้องจนเกิดเป็นช่องโหว่
  • 6% มีการฝัง Secret ลงไปใน Source Code โดยตรง เช่น API Key, Credential และอื่นๆ ซึ่งเปิดให้คนทั่วไปสามารถเข้าถึงข้อมูลในส่วนนี้ได้จากสาธารณะ
  • ปัญหาที่เกิดขึ้นนั้นเกิดจากแนวปฏิบัติในการพัฒนา Software ที่ไม่ปลอดภัย, ขาดความเข้าใจในการพัฒนา API ให้ปลอดภัย และการขาดความรู้เรื่อง Security บนระบบ Serverless ทำให้การพัฒนาเกิดขึ้นจากการ Copy/Paste โดยไม่ได้เข้าใจโค้ดของตัวเองจริงๆ

ก็ถือเป็นอีกข้อคิดที่ดีสำหรับผู้ที่พัฒนา API หรือใช้งาน Serverless Architecture ว่าอย่าละเลยเรื่อง Security กันนะครับ

 

ที่มา: https://www.infosecurity-magazine.com/news/onefifth-of-serverless-apps/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เปิดเทคโนโลยีใหม่จาก LINE ที่นักพัฒนาไทยห้ามพลาด จากงาน LINE Conference Thailand 2023 [Guest Post]

ปิดฉากอย่างยิ่งใหญ่กับครั้งแรกในประเทศไทย ของงาน LINE Conference Thailand 2023 หรือ #LCT23 งานสัมมนาด้านเทคโนโลยีสุดยิ่งใหญ่จาก LINE ประเทศไทย กับการเผยวิสัยทัศน์ ทิศทางการพัฒนาเทคโนโลยีใหม่ๆ จาก LINE …

5 เครื่องมือโอเพ่นซอร์สสแกนหาช่องโหว่

หลายท่านอาจคงมีเครื่องมือการสแกนหาช่องโหว่อยู่แล้วในมุมมองต่างๆ แต่ในบทความนี้เราขอพาทุกท่านไปรู้จักกับ 5 เครื่องมือฟรี ที่ช่วยตอบโจทย์การค้นหาช่องโหว่