GitHub เตือนนักพัฒนาในการใช้ Libraries ที่มีช่องโหว่

GitHub ผู้ให้บริการเพื่อสนับสนุนการทำงานของนักพัฒนาโค้ดต่างๆ ได้ออกฟีเจอร์ใหม่ที่เรียกว่า Dependency Graph เพื่อช่วยแสดงลิสต์รายชื่อของไลบรารี่ที่ถูกใช้ในโปรเจ็คและแจ้งเตือนนักพัฒนาว่าไลบรารี่ที่ใช้อยู่มีช่องโหว่หรือไม่

ฟีเจอร์ Dependency Graph นั้นสนับสนุนภาษา JavaScript และ Ruby โดยกำลังวางแผนเพื่อรองรับภาษา Python เพิ่มในปีหน้า โดย Dependency Graph และการแจ้งเตือนจะเปิดอัตโนมัติส่วนของ Public Repository(ที่จัดเก็บโค้ดให้เข้าถึงได้แบบสาธรณะ) แต่ในส่วนของ Private Repository ต้องให้ผู้ใช้งานเลือกเปิดเอง หากตรวจพบไลบรารี่ที่ใช้งานว่ามีช่องโหว่มันจะแสดงผลแจ้งเตือนติดกับ Dependency Graph นอกจากนี้ผู้ใช้งานสามารถตั้งค่าให้ได้รับการแจ้งเตือนผ่านทาง อีเมล์ เว็บ หรือหน้าจอแสดงผลผู้ใช้งาน แบบเป็นกลุ่มหรือแบบส่วนบุคคลได้อีกด้วย

GitHub ได้ใช้การติดตามจาก Ruby gems และ NPM packages จาก MITRE’s Common Vulnerabilities and Exposures (CVE) เพื่อตรวจสอบถึงช่องโหว่ที่เกิดขึ้นหลังจากนั้น บริษัทจะสามารถระบุ Respositories ที่ได้รับผลกระทบและแจ้งเตือนเจ้าของโค้ดเหล่านั้น โดยมีเนื้อหาประกอบด้วย ชนิดของช่องโหว่ ระดับความรุนแรง และเวอร์ชันที่ได้รับผลกระทบ รวมถึงสามารถลิ้งไปยังหน้าของเพจที่สามารถดูข้อมูลเพิ่มเติมได้ มากกว่านั้นหากมีแพตซ์ออกมา GitHub จะแนะนำให้ผู้พัฒนาอัปเดตหรือใช้ Machine Learning ช่วยแนะนำวิธีการแก้ไขจาก  Community ของ GitHub

Github ได้ติดตามช่องโหว่โดยใช้เลข CVE แต่ช่องโหว่หลายตัวก็ไม่มี CVE ดังนั้นบริษัทจึงพยายามที่จะแจ้งเตือนผู้ใช้งานที่ได้รับผลกระทบดังกล่าวว่ายังไม่มีข้อมูลเหล่านั้น “เราพยายามที่จะระบุถึงช่องโหว่ต่างๆ ให้ได้มากขึ้นตามการเติบโตด้านความมั่นคงปลอดภัยของข้อมูลของเราที่เพิ่มขึ้น”–GitHub กล่าว

ที่มา : http://www.securityweek.com/github-warns-developers-when-using-vulnerable-libraries


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] สกมช. พร้อม Up Skill ผู้เชี่ยวชาญด้าน Cybersecurity ในประเทศไทย

สกมช. เปิดโครงการอบรมหลักสูตรประกาศนียบัตร CompTIA พร้อมสิทธิ์สอบ จากมูลค่า 25,000 บาท เหลือเพียง 4,800 บาท พร้อมมอบรางวัลใหญ่แก่คนที่พัฒนาตนเองอย่างไม่สิ้นสุด (สอบผ่าน) มูลค่า 4,800 บาท …

ขอเชิญร่วมงานสัมมนา VeeamOn Forum : Transform Your Modern Data Protection Strategy [25 Aug 2022]

Veeam ขอเรียนเชิญท่านเข้าร่วมงาน VeeamOn Forum: Transform Your Modern Data Protection Strategy โดยภายในงานทุกท่านจะได้รับทราบเนื้อหาเทคโนโลยี ไฮไลท์ต่างๆ และการเปิดตัวเวอร์ชันใหม่จาก Veeam รวมถึงพันธมิตรทางธุรกิจที่ได้ให้เกียรติเข้าร่วมบรรยายพร้อมทั้งนำเสนอสินค้าและโซลูชันต่างๆ …