GitHub เตือนนักพัฒนาในการใช้ Libraries ที่มีช่องโหว่

GitHub ผู้ให้บริการเพื่อสนับสนุนการทำงานของนักพัฒนาโค้ดต่างๆ ได้ออกฟีเจอร์ใหม่ที่เรียกว่า Dependency Graph เพื่อช่วยแสดงลิสต์รายชื่อของไลบรารี่ที่ถูกใช้ในโปรเจ็คและแจ้งเตือนนักพัฒนาว่าไลบรารี่ที่ใช้อยู่มีช่องโหว่หรือไม่

ฟีเจอร์ Dependency Graph นั้นสนับสนุนภาษา JavaScript และ Ruby โดยกำลังวางแผนเพื่อรองรับภาษา Python เพิ่มในปีหน้า โดย Dependency Graph และการแจ้งเตือนจะเปิดอัตโนมัติส่วนของ Public Repository(ที่จัดเก็บโค้ดให้เข้าถึงได้แบบสาธรณะ) แต่ในส่วนของ Private Repository ต้องให้ผู้ใช้งานเลือกเปิดเอง หากตรวจพบไลบรารี่ที่ใช้งานว่ามีช่องโหว่มันจะแสดงผลแจ้งเตือนติดกับ Dependency Graph นอกจากนี้ผู้ใช้งานสามารถตั้งค่าให้ได้รับการแจ้งเตือนผ่านทาง อีเมล์ เว็บ หรือหน้าจอแสดงผลผู้ใช้งาน แบบเป็นกลุ่มหรือแบบส่วนบุคคลได้อีกด้วย

GitHub ได้ใช้การติดตามจาก Ruby gems และ NPM packages จาก MITRE’s Common Vulnerabilities and Exposures (CVE) เพื่อตรวจสอบถึงช่องโหว่ที่เกิดขึ้นหลังจากนั้น บริษัทจะสามารถระบุ Respositories ที่ได้รับผลกระทบและแจ้งเตือนเจ้าของโค้ดเหล่านั้น โดยมีเนื้อหาประกอบด้วย ชนิดของช่องโหว่ ระดับความรุนแรง และเวอร์ชันที่ได้รับผลกระทบ รวมถึงสามารถลิ้งไปยังหน้าของเพจที่สามารถดูข้อมูลเพิ่มเติมได้ มากกว่านั้นหากมีแพตซ์ออกมา GitHub จะแนะนำให้ผู้พัฒนาอัปเดตหรือใช้ Machine Learning ช่วยแนะนำวิธีการแก้ไขจาก  Community ของ GitHub

Github ได้ติดตามช่องโหว่โดยใช้เลข CVE แต่ช่องโหว่หลายตัวก็ไม่มี CVE ดังนั้นบริษัทจึงพยายามที่จะแจ้งเตือนผู้ใช้งานที่ได้รับผลกระทบดังกล่าวว่ายังไม่มีข้อมูลเหล่านั้น “เราพยายามที่จะระบุถึงช่องโหว่ต่างๆ ให้ได้มากขึ้นตามการเติบโตด้านความมั่นคงปลอดภัยของข้อมูลของเราที่เพิ่มขึ้น”–GitHub กล่าว

ที่มา : http://www.securityweek.com/github-warns-developers-when-using-vulnerable-libraries





About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

5 ข้อที่ฉุดรั้งให้เครือข่ายไร้สายของคุณช้าลง

เครือข่ายไร้สายมักพบความไม่สเถียรของสัญญาณเนื่องจากมีปัจจัยที่ส่งผลกระทบซ่อนอยู่ค่อนข้างมาก วันนี้ทางทีมงานเราได้พบกับบทความที่น่าสนใจเกี่ยวกับปัจจัยที่เป็นตัวฉุดรั้งให้เครือข่ายไร้สายนั้นแสดงประสิทธิภาพได้ช้าลงกว่าที่ควรจะเป็นอย่างคาดไม่ถึง จึงเรียบเรียงและนำเสนอให้ผู้อ่านได้นำไปประกอบการใช้งานกันต่อไป

5 โปรเจกต์ที่น่าจับตามองสำหรับ Data Science และ Machine Learning บน GitHub เดือนมกราคม 2018

GitHub นั้นถือเป็นเครื่องมือยอดฮิตสำหรับโปรแกรมเมอร์ซึ่งหลักๆ นั้นนำมาใช้เพื่อบริหารจัดการเวอร์ชันของโค้ดในโปรเจกต์ต่างๆ นอกจากนั้นยังสามารถเปิดแชร์ให้ผู้อื่นได้ รวมถึงผู้สนใจสามารถทำการผนวกโค้ด (Forking) เข้ามาในโปรเจกต์ใหม่ของตนเองได้ซึ่งยังสามารถรับการอัปเดตหากเจ้าของต้นฉบับนั้นมีการเปลี่ยนแปลงโค้ด ในหัวข้อนี้เราจะมาพาไปดูโปรเจกต์สำหรับชาว Data Science และ AI เจ๋งๆ ในเดือนมกราคมที่ผ่านมาได้รับชมกัน