เป็นเรื่องธรรมดาที่สมัยนี้มีการดึงโค้ดจากผู้อื่นมาใช้ต่อกันในโปรเจ็ค แต่สิ่งที่เป็นปัญหาก็คือเราจะมั่นใจได้อย่างไรว่าโค้ดนั้นปลอดภัย วันนี้เอง GitLab ได้เปิดตัวเครื่องมือใหม่ ‘Package Hunter’ เพื่อช่วยแก้ปัญหาเหล่านั้น
วัตถุประสงค์ของ Package Hunter นั่นคือการช่วยตรวจสอบโค้ดของ Dependencies ต่างๆที่นำเข้ามาใช้ ไอเดียก็คือติดตั้ง Dependencies ใน sandbox และติดตามว่ามีการเรียกใช้ System Call อะไรบ้างระหว่างการทำงาน สุดท้ายก็จะรายงานความน่าสงสัยแก่ผู้ใช้งานเพื่อตัดสินใจ โดยเครื่องมือนี้จะยังรองรับได้เพียง 2 รูปแบบคือ NodeJS และ Ruby Gems
ที่มา : https://www.securityweek.com/gitlab-releases-open-source-tool-hunting-malicious-code-dependencies