GitHub เตือนนักพัฒนาในการใช้ Libraries ที่มีช่องโหว่

GitHub ผู้ให้บริการเพื่อสนับสนุนการทำงานของนักพัฒนาโค้ดต่างๆ ได้ออกฟีเจอร์ใหม่ที่เรียกว่า Dependency Graph เพื่อช่วยแสดงลิสต์รายชื่อของไลบรารี่ที่ถูกใช้ในโปรเจ็คและแจ้งเตือนนักพัฒนาว่าไลบรารี่ที่ใช้อยู่มีช่องโหว่หรือไม่

ฟีเจอร์ Dependency Graph นั้นสนับสนุนภาษา JavaScript และ Ruby โดยกำลังวางแผนเพื่อรองรับภาษา Python เพิ่มในปีหน้า โดย Dependency Graph และการแจ้งเตือนจะเปิดอัตโนมัติส่วนของ Public Repository(ที่จัดเก็บโค้ดให้เข้าถึงได้แบบสาธรณะ) แต่ในส่วนของ Private Repository ต้องให้ผู้ใช้งานเลือกเปิดเอง หากตรวจพบไลบรารี่ที่ใช้งานว่ามีช่องโหว่มันจะแสดงผลแจ้งเตือนติดกับ Dependency Graph นอกจากนี้ผู้ใช้งานสามารถตั้งค่าให้ได้รับการแจ้งเตือนผ่านทาง อีเมล์ เว็บ หรือหน้าจอแสดงผลผู้ใช้งาน แบบเป็นกลุ่มหรือแบบส่วนบุคคลได้อีกด้วย

GitHub ได้ใช้การติดตามจาก Ruby gems และ NPM packages จาก MITRE’s Common Vulnerabilities and Exposures (CVE) เพื่อตรวจสอบถึงช่องโหว่ที่เกิดขึ้นหลังจากนั้น บริษัทจะสามารถระบุ Respositories ที่ได้รับผลกระทบและแจ้งเตือนเจ้าของโค้ดเหล่านั้น โดยมีเนื้อหาประกอบด้วย ชนิดของช่องโหว่ ระดับความรุนแรง และเวอร์ชันที่ได้รับผลกระทบ รวมถึงสามารถลิ้งไปยังหน้าของเพจที่สามารถดูข้อมูลเพิ่มเติมได้ มากกว่านั้นหากมีแพตซ์ออกมา GitHub จะแนะนำให้ผู้พัฒนาอัปเดตหรือใช้ Machine Learning ช่วยแนะนำวิธีการแก้ไขจาก  Community ของ GitHub

Github ได้ติดตามช่องโหว่โดยใช้เลข CVE แต่ช่องโหว่หลายตัวก็ไม่มี CVE ดังนั้นบริษัทจึงพยายามที่จะแจ้งเตือนผู้ใช้งานที่ได้รับผลกระทบดังกล่าวว่ายังไม่มีข้อมูลเหล่านั้น “เราพยายามที่จะระบุถึงช่องโหว่ต่างๆ ให้ได้มากขึ้นตามการเติบโตด้านความมั่นคงปลอดภัยของข้อมูลของเราที่เพิ่มขึ้น”–GitHub กล่าว

ที่มา : http://www.securityweek.com/github-warns-developers-when-using-vulnerable-libraries



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Gartner ทำนาย การลงทุน IT ทั่วโลกจะเติบโต 4% ในปี 2021

ในงาน Gartner IT Symposium/Xpo 2020 Americas ทีมนักวิเคราะห์จาก Gartner ได้ออกมาเผยถึงผลการทำนายแนวโน้มด้านการลงทุน IT ทั่วโลกในปี 2021 ว่ามีแนวโน้มที่จะเติบโตขึ้น 4% มีมูลค่ารวมประมาณ 3.8 ล้านล้านเหรียญหรือราวๆ 11.78 ล้านล้านบาท พร้อมตัวเลขอื่นๆ ที่น่าสนใจดังนี้

[Guest Post] AVEVA และ SCG แถลงความร่วมมือด้านกลยุทธ์เพื่อสร้าง “Digital Reliability Platform”

ความร่วมมือระหว่างองค์กรด้านกลยุทธ์เพื่อต่อยอดเทคโนโลยีดิจิทัล ทวินทางวิศวกรรม และควบคุมการบริหารประสิทธิภาพของเครื่องจักรโดยใช้เทคโนโลยีปัญญาประดิษฐ์ AI เข้ามาจัดการเพื่อป้องกันเหตุขัดข้องที่ไม่คาดคิด