ADPT

Google ออกเครื่องมือช่วยตรวจสอบความปลอดภัยของซอฟต์แวร์ Open Source

ในยุคที่ซอฟต์แวร์ทางการค้าเกือบทั้งหมด มักจะประกอบได้ด้วยโค้ดโปรเจ็คโอเพ่นซอร์ส คำถามคือจะมีหนทางไหนที่สามารถช่วยตรวจสอบซอฟต์แวร์ Open Source เหล่านั้นได้ง่ายและรวดเร็ว ตัวช่วยในวันนี้ก็คือโปรเจ็ค Scorecards 2.0 จากความร่วมมือของ Google และ Open Source Security Foundation (OSSF) นั่นเอง

Scorecards เป็นเครื่องมือที่จะช่วยประเมินเรื่องความมั่นคงปลอดภัยของโปรเจ็ค Open Source อย่างอัตโนมัติ ซึ่งปกติแล้วองค์กรอาจจะทำได้ด้วยตัวเองแต่ก็ต้องเปลืองทรัพยากรบุคคลไปมากทั้งๆที่ก็หายากอยู่แล้ว สำหรับเวอร์ชันใหม่มีฟีเจอร์เพิ่มเติมในด้านต่างๆดังนี้

  • Identifying Risk – เพิ่มการตรวจสอบใหม่ตามเฟรมเวิร์ก Know, Prevent, Fix ของ Google
  • Malicious Contributor – มีการตรวจสอบ Branch Protection ซึ่งนักพัฒนาสามารถรีวิวโค้ดก่อน Commit ได้   
  • Vulnerable Code – ตรวจสอบว่าโปรเจ็คมีการใช้งานเครื่องมือ Fuzzing และ SAST ในขั้นตอนของ CI/CD ไหมซึ่งเป็นสิ่งที่ควรทำตั้งแต่ขั้นตอนการพัฒนา
  • System Compromise – เครื่องมือ CI/CD ที่มักถูกใช้โดย GitHub Project ก็คือ GitHub Action ซึ่งความอันตรายก็คืออาจรับเอาอินพุตน์ที่ไม่น่าเชื่อถือเข้ามาได้ เช่น สามารถ Pull Request เพื่อเข้าถึง GitHub Token ที่สำคัญ หรือ Push โค้ดโดยไม่ผ่านการรีวิว ดังนั้น Scorecards สามารถตรวจสอบ Token Permission ว่า GitHub Workflows มีการปฏิบัติตาม Least Privilege หรือไม่
  • Dependency – ตรวจสอบข้อมูลว่าเปิดเผย Dependencies ที่นำเข้ามาใช้หรือไม่

ในส่วนของการป้องกันเทคนิคอันตรายอย่าง Scorecards ยังมีความสามารถตรวจสอบไบนารีด้วยเครื่องมือ Binary-artifact รวมถึงสามารถตรวจสอบ Hash ของ Dependency ที่เรียกเข้ามาเทียบกับ Hash ที่ทำเอาไว้ด้วย Frozen-Dep นอกจากนี้ปกติแล้วเมื่อเราทำ hash-pinning ก็ต้องมีการอัปเดต Hash หาก Dependency ต้นทางมีการอัปเดต ซึ่งปกติแล้วมีเครื่องมือช่วยอย่างเช่น Dependabot หรือ renovatebot โดยทาง Scorecards จะเข้าไปดูด้วยว่าโปรเจ็คมีการใช้เครื่องอัปเดต Hash ตามหรือเปล่า

ท่านใดสนใจรายละเอียดทั้งหมดสามารถเข้าชมได้ที่ https://github.com/ossf/scorecard/ 

ที่มา : https://www.zdnet.com/article/google-releases-new-open-source-security-software-program-scorecards/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

FBI เผยช่องโหว่ยอดฮิตในรอบ 2 ปีหลังสุด

หน่วยงานด้านความมั่นคงปลอดภัยจากทั้งสหรัฐฯ สหราชอาณาจักร และออสเตรเลียได้ร่วมกันรวบรวมข้อมูลเพื่อจัดทำ Advisory ของช่องโหว่ยอดนิยมที่มักถูกใช้ใน 2 ปีหลังสุด พร้อมคำแนะนำ และวิธีการแก้ไข

IBM เผยความเสียหายจากเหตุการณ์ Data Breach แต่ละครั้งเฉลี่ยสูงขึ้นกว่าปีก่อนถึง 10%

IBM ได้ร่วมกับ Ponemon Institute จัดทำรายงานเรื่อง Data Breach ที่เกิดขึ้น โดยพบว่ามูลค่าความเสียหายของปีล่าสุดเพิ่มขึ้นกว่า 10% และสัมพันธ์กับเรื่องวิธีการทำงานที่เปลี่ยนไปจากโรคระบาด