รายงานจาก GitHub ชี้ช่องโหว่บนโอเพ่นซอร์สมีอายุเฉลี่ยถึง 4 ปีก่อนถูกเปิดเผย

GitHub ได้ออกรายงานประจำปีหรือ Octoverse ซึ่งเป็นการสรุปผลงานของโปรเจ็คโอเพ่นซอร์สในรอบปี ในมุมของ Security พบว่าโปรเจ็คโอเพ่นซอร์สมีช่องโหว่ที่ไม่ถูกค้นพบถึง 4 ปีกว่าจะถูกเปิดเผย

Credit: ShutterStock.com

สถิติที่น่าสนใจของปี 2020 มีดังนี้

  • GitHub มีนักพัฒนาถึง 56 ล้านราย มี Repository ใหม่ถูกสร้างขึ้นกว่า 60 ล้านครั้ง และมีการ Contribute ถึง 1,900 ล้านครั้ง
  • มีการสำรวจสถานะของเรื่อง Security ทั่วไปในโปรเจ็คโอเพ่นซอร์สย้อนหลังไป 2 ปี โดยเลือกเฉพาะแพลตฟอร์มต่างๆ ที่ GitHub รองรับเช่น Composer, Maven, npm, NuGet, PyPi และ RubyGems
  • 94% ของโปรเจ็คหรือเกือบ 700 dependency เป็น JavaScript และ Ruby กว่า 94% และ .NET รองลงมาที่ 90% 
  • กว่าโอเพ่นซอร์สจะค้นพบช่องโหว่ที่มีอยู่ก็ใช้เวลาเฉลี่ยนนานถึง 4 ปี แต่การแก้ไขก็ใช้เวลาไม่เกินเดือนเดียวเท่านั้น นอกจากนี้ 83% มักเป็นแค่ข้อผิดพลาด มีเพียง 17% ที่เป็นอันตรายและมักจะจำกัดอยู่แค่ในแพ็กเกจร้างหรือคนใช้ไม่เยอะ
  • ช่องโหว่ที่ร้ายแรงที่สุดของโปรเจ็คบน GitHub ซึ่งหากนับจำนวนผู้ใช้ที่ได้รับผลกระทบมากสุดของปีนี้คือ CVE-2020-8203 ใน Lodash เพราะเป็น npm ที่มีการนำไปใช้ต่อหลายล้านครั้ง

อย่างไรก็ดีด้วยปริมาณอันมหาศาล บอกได้เลยว่าองค์กรหรือซอฟต์แวร์ที่เราใช้อยู่อาจไม่พ้นการมีโอเพ่นซอร์สอยู่ส่วนใดส่วนหนึ่ง ดังนั้นการติดตามและอัปเดตปัญหาช่องโหว่ในส่วนที่เกี่ยวข้องเป็นเรื่องสำคัญ ซึ่ง GitHub เตรียมที่จะออกการแจ้งเตือนด้าน Security แก่ Repository ที่ยังเคลื่อนไหวอยู่ในปีถัดไปให้ได้กว่า 59%

ที่มา : https://www.zdnet.com/article/open-source-software-security-vulnerabilities-exist-for-over-four-years-before-detection-study/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …

ขอเชิญเข้าร่วมงานอบรมฟรี ClickHouse in Action: Real-World Analytics at Scale by INOX เรียนรู้และลองทำ ClickHouse ด้วยตนเอง [22 ก.ค. 2026 – 13.30น.]

ClickHouse และ INOX ขอเรียนเชิญ IT Leaders, Enterprise & Solution Architects, Data Architects และ Data Engineers …