Breaking News

ทีมพัฒนา NPM พบ 51% ของ JavaScript Package ที่ถูกเรียกใช้งาน มีช่องโหว่อย่างน้อย 1 รายการ

หลังจากทีมพัฒนา NPM ได้เริ่มมีการเสริมความสามารถในการ Audit ว่า Dependency ที่ใช้นั้นมีช่องโหว่หรือไม่ เพื่อช่วยบรรเทาปัญหาด้าน Security ที่เกิดขึ้นกับโครงการต่างๆ ก็พบว่า 51% ของการ Audit ที่เกิดขึ้นโดยอัตโนมัติเมื่อผู้ใช้งานทำการใช้คำสั่ง npm install และ npm audit นั้น มีช่องโหว่อย่างน้อย 1 รายการปรากฏอยู่ใน Package Dependency โดย 11% ในนั้นเป็นช่องโหว่ความรุนแรงระดับสูงสุด

 

Credit: NPM

 

Adam Baldwin ผู้ดำรงตำแหน่ง Head of Security แห่ง NPM ได้ออกมาให้สัมภาษณ์กับ The Register ว่าเขาเองก็ไม่มีข้อมูลว่าผู้ใช้งานได้ทำการซ่อมแซมหรือแก้ไขระบบของตัวเองให้ปลอดภัยหลังจากที่ระบบ Audit ตรวจเจอช่องโหว่หรือไม่ แต่เขาก็สังเกตจากข้อมูลของ Pull Request และพบว่าปัญหานี้มีแนวโน้มที่ดีขึ้น และหลังจากนี้ทาง NPM เองก็อาจมีมาตรการควบคุมใหม่ๆ ที่ได้ผลมากขึ้นกว่าการแจ้งเตือนผู้ใช้งานเท่านั้น

ความสามารถในการ Audit เบื้องต้นให้กับโครงการ Open Source ที่นำมาใช้งานได้นี้จะช่วยให้เหล่าองค์กรสามารถปฏิบัติตาม Compliance และกฎเกณฑ์ต่างๆ ได้ดีขึ้น เพื่อให้ระบบมีความมั่นคงปลอดภัยสูงขึ้นและมีความเสี่ยงที่จะถูกโจมตีได้น้อยลง

ล่าสุดเมื่อวันพุธที่ผ่านมา ทาง NPM เองก็ได้มีการเสริมปุ่ม Report a Vulnerability เพิ่มเติมในทุกๆ หน้าของ NPM Package แล้ว รวมถึงยังมีการตรวจสอบหาค่า Hash ของรหัสผ่านในขั้นตอนการสร้าง Account ด้วยว่ารหัสผ่านดังกล่าวเคยรั่วไหลออกไปหรือยัง เพื่อช่วยให้ผู้ใช้งานได้ใช้รหัสผ่านที่ปลอดภัย

 

ที่มา: https://www.theregister.co.uk/2018/08/22/npm_vulnerability_scanner/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video Webinar] แนะนำ 6 เทคโนโลยีการปกป้องข้อมูลให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย TechTalk Webinar เรื่อง “แนะนำ 6 เทคโนโลยีการปกป้องข้อมูลให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล” พร้อมเจาะลึกความต้องการของ พ.ร.บ.ฯ ฉบับดังกล่าว และทำความรู้จักเทคโนโลยีแต่ละประเภทที่องค์กรสามารถนำไปประยุกต์ใช้เพื่อให้ตอบโจทย์ความต้องการเหล่านั้น ที่เพิ่งจัดไปเมื่อเดือนมีนาคมที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง …

GitLab ประกาศย้ายฟีเจอร์บางส่วนไปยัง Open Source ให้ใช้งานได้ฟรี

GitLab ได้ประกาศย้ายฟีเจอร์บางส่วนกว่า 18 รายการไปยัง Open Source ให้นักพัฒนาได้ใช้งานกันได้ฟรี