GitHub เตือนนักพัฒนาในการใช้ Libraries ที่มีช่องโหว่

GitHub ผู้ให้บริการเพื่อสนับสนุนการทำงานของนักพัฒนาโค้ดต่างๆ ได้ออกฟีเจอร์ใหม่ที่เรียกว่า Dependency Graph เพื่อช่วยแสดงลิสต์รายชื่อของไลบรารี่ที่ถูกใช้ในโปรเจ็คและแจ้งเตือนนักพัฒนาว่าไลบรารี่ที่ใช้อยู่มีช่องโหว่หรือไม่

ฟีเจอร์ Dependency Graph นั้นสนับสนุนภาษา JavaScript และ Ruby โดยกำลังวางแผนเพื่อรองรับภาษา Python เพิ่มในปีหน้า โดย Dependency Graph และการแจ้งเตือนจะเปิดอัตโนมัติส่วนของ Public Repository(ที่จัดเก็บโค้ดให้เข้าถึงได้แบบสาธรณะ) แต่ในส่วนของ Private Repository ต้องให้ผู้ใช้งานเลือกเปิดเอง หากตรวจพบไลบรารี่ที่ใช้งานว่ามีช่องโหว่มันจะแสดงผลแจ้งเตือนติดกับ Dependency Graph นอกจากนี้ผู้ใช้งานสามารถตั้งค่าให้ได้รับการแจ้งเตือนผ่านทาง อีเมล์ เว็บ หรือหน้าจอแสดงผลผู้ใช้งาน แบบเป็นกลุ่มหรือแบบส่วนบุคคลได้อีกด้วย

GitHub ได้ใช้การติดตามจาก Ruby gems และ NPM packages จาก MITRE’s Common Vulnerabilities and Exposures (CVE) เพื่อตรวจสอบถึงช่องโหว่ที่เกิดขึ้นหลังจากนั้น บริษัทจะสามารถระบุ Respositories ที่ได้รับผลกระทบและแจ้งเตือนเจ้าของโค้ดเหล่านั้น โดยมีเนื้อหาประกอบด้วย ชนิดของช่องโหว่ ระดับความรุนแรง และเวอร์ชันที่ได้รับผลกระทบ รวมถึงสามารถลิ้งไปยังหน้าของเพจที่สามารถดูข้อมูลเพิ่มเติมได้ มากกว่านั้นหากมีแพตซ์ออกมา GitHub จะแนะนำให้ผู้พัฒนาอัปเดตหรือใช้ Machine Learning ช่วยแนะนำวิธีการแก้ไขจาก  Community ของ GitHub

Github ได้ติดตามช่องโหว่โดยใช้เลข CVE แต่ช่องโหว่หลายตัวก็ไม่มี CVE ดังนั้นบริษัทจึงพยายามที่จะแจ้งเตือนผู้ใช้งานที่ได้รับผลกระทบดังกล่าวว่ายังไม่มีข้อมูลเหล่านั้น “เราพยายามที่จะระบุถึงช่องโหว่ต่างๆ ให้ได้มากขึ้นตามการเติบโตด้านความมั่นคงปลอดภัยของข้อมูลของเราที่เพิ่มขึ้น”–GitHub กล่าว

ที่มา : http://www.securityweek.com/github-warns-developers-when-using-vulnerable-libraries