Microsoft Azure by Ingram Micro (Thailand)

รายงานจาก GitHub ชี้ช่องโหว่บนโอเพ่นซอร์สมีอายุเฉลี่ยถึง 4 ปีก่อนถูกเปิดเผย

GitHub ได้ออกรายงานประจำปีหรือ Octoverse ซึ่งเป็นการสรุปผลงานของโปรเจ็คโอเพ่นซอร์สในรอบปี ในมุมของ Security พบว่าโปรเจ็คโอเพ่นซอร์สมีช่องโหว่ที่ไม่ถูกค้นพบถึง 4 ปีกว่าจะถูกเปิดเผย

Credit: ShutterStock.com

สถิติที่น่าสนใจของปี 2020 มีดังนี้

  • GitHub มีนักพัฒนาถึง 56 ล้านราย มี Repository ใหม่ถูกสร้างขึ้นกว่า 60 ล้านครั้ง และมีการ Contribute ถึง 1,900 ล้านครั้ง
  • มีการสำรวจสถานะของเรื่อง Security ทั่วไปในโปรเจ็คโอเพ่นซอร์สย้อนหลังไป 2 ปี โดยเลือกเฉพาะแพลตฟอร์มต่างๆ ที่ GitHub รองรับเช่น Composer, Maven, npm, NuGet, PyPi และ RubyGems
  • 94% ของโปรเจ็คหรือเกือบ 700 dependency เป็น JavaScript และ Ruby กว่า 94% และ .NET รองลงมาที่ 90% 
  • กว่าโอเพ่นซอร์สจะค้นพบช่องโหว่ที่มีอยู่ก็ใช้เวลาเฉลี่ยนนานถึง 4 ปี แต่การแก้ไขก็ใช้เวลาไม่เกินเดือนเดียวเท่านั้น นอกจากนี้ 83% มักเป็นแค่ข้อผิดพลาด มีเพียง 17% ที่เป็นอันตรายและมักจะจำกัดอยู่แค่ในแพ็กเกจร้างหรือคนใช้ไม่เยอะ
  • ช่องโหว่ที่ร้ายแรงที่สุดของโปรเจ็คบน GitHub ซึ่งหากนับจำนวนผู้ใช้ที่ได้รับผลกระทบมากสุดของปีนี้คือ CVE-2020-8203 ใน Lodash เพราะเป็น npm ที่มีการนำไปใช้ต่อหลายล้านครั้ง

อย่างไรก็ดีด้วยปริมาณอันมหาศาล บอกได้เลยว่าองค์กรหรือซอฟต์แวร์ที่เราใช้อยู่อาจไม่พ้นการมีโอเพ่นซอร์สอยู่ส่วนใดส่วนหนึ่ง ดังนั้นการติดตามและอัปเดตปัญหาช่องโหว่ในส่วนที่เกี่ยวข้องเป็นเรื่องสำคัญ ซึ่ง GitHub เตรียมที่จะออกการแจ้งเตือนด้าน Security แก่ Repository ที่ยังเคลื่อนไหวอยู่ในปีถัดไปให้ได้กว่า 59%

ที่มา : https://www.zdnet.com/article/open-source-software-security-vulnerabilities-exist-for-over-four-years-before-detection-study/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google Cloud เผยผลการทดลองสู่การนำ Gen AI ไปใช้งานจริงในปีนี้ [PR]

การก้าวตามเทคโนโลยีใหม่อย่าง Generative AI ที่มีการพัฒนาอย่างรวดเร็วอาจเป็นเรื่องที่ท้าทายและน่ากลัว ไม่มีใครรู้เลยว่าบริษัทที่ใช้แนวทาง “รอดูไปก่อน” จะถูกทิ้งไว้ข้างหลังในขณะที่ระบบดิจิทัลเติบโตขึ้นอย่างรวดเร็วในช่วงเริ่มต้นของโควิด-19 และตอนนี้เราก็กำลังอยู่ในอีกหนึ่งช่วงเวลาเปลี่ยนผ่านที่สำคัญอีกครั้งของการปรับตัวกับการเข้ามาถึงอย่างรวดเร็วของเทคโนโลยี Generative AI

Imperva ออกรายงาน The State of API Security ประจำปี 2024

Imperva ผู้ให้บริการชั้นนำด้าน Web, API และ Data Security ออกรายงาน The State of API Security ประจำปี 2024 …