ทีมพัฒนา NPM พบ 51% ของ JavaScript Package ที่ถูกเรียกใช้งาน มีช่องโหว่อย่างน้อย 1 รายการ

หลังจากทีมพัฒนา NPM ได้เริ่มมีการเสริมความสามารถในการ Audit ว่า Dependency ที่ใช้นั้นมีช่องโหว่หรือไม่ เพื่อช่วยบรรเทาปัญหาด้าน Security ที่เกิดขึ้นกับโครงการต่างๆ ก็พบว่า 51% ของการ Audit ที่เกิดขึ้นโดยอัตโนมัติเมื่อผู้ใช้งานทำการใช้คำสั่ง npm install และ npm audit นั้น มีช่องโหว่อย่างน้อย 1 รายการปรากฏอยู่ใน Package Dependency โดย 11% ในนั้นเป็นช่องโหว่ความรุนแรงระดับสูงสุด

 

Credit: NPM

 

Adam Baldwin ผู้ดำรงตำแหน่ง Head of Security แห่ง NPM ได้ออกมาให้สัมภาษณ์กับ The Register ว่าเขาเองก็ไม่มีข้อมูลว่าผู้ใช้งานได้ทำการซ่อมแซมหรือแก้ไขระบบของตัวเองให้ปลอดภัยหลังจากที่ระบบ Audit ตรวจเจอช่องโหว่หรือไม่ แต่เขาก็สังเกตจากข้อมูลของ Pull Request และพบว่าปัญหานี้มีแนวโน้มที่ดีขึ้น และหลังจากนี้ทาง NPM เองก็อาจมีมาตรการควบคุมใหม่ๆ ที่ได้ผลมากขึ้นกว่าการแจ้งเตือนผู้ใช้งานเท่านั้น

ความสามารถในการ Audit เบื้องต้นให้กับโครงการ Open Source ที่นำมาใช้งานได้นี้จะช่วยให้เหล่าองค์กรสามารถปฏิบัติตาม Compliance และกฎเกณฑ์ต่างๆ ได้ดีขึ้น เพื่อให้ระบบมีความมั่นคงปลอดภัยสูงขึ้นและมีความเสี่ยงที่จะถูกโจมตีได้น้อยลง

ล่าสุดเมื่อวันพุธที่ผ่านมา ทาง NPM เองก็ได้มีการเสริมปุ่ม Report a Vulnerability เพิ่มเติมในทุกๆ หน้าของ NPM Package แล้ว รวมถึงยังมีการตรวจสอบหาค่า Hash ของรหัสผ่านในขั้นตอนการสร้าง Account ด้วยว่ารหัสผ่านดังกล่าวเคยรั่วไหลออกไปหรือยัง เพื่อช่วยให้ผู้ใช้งานได้ใช้รหัสผ่านที่ปลอดภัย

 

ที่มา: https://www.theregister.co.uk/2018/08/22/npm_vulnerability_scanner/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cisco แพตช์ช่องโหว่ร้ายแรงใน Firepower Management และผลิตภัณฑ์อื่นกว่า 26 รายการแนะผู้ใช้เร่งอัปเดต

Cisco ได้ประกาศ Advisory สำหรับช่องโหว่ต่างๆ กว่า 27 รายการ โดยมีช่องโหว่ร้ายแรง 1 รายการกระทบกับซอฟต์แวร์ Firepower Management Center จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ

Microsoft ประกาศเหตุคอนฟิค Rule ผิด เปิดเข้าถึงข้อมูลลูกค้าได้กว่า 250 ล้านรายการ

Microsoft ได้ประกาศถึงเหตุการความผิดพลาดโดยไม่ตั้งใจสาเหตุจากการคอนฟิค Security Rule ของ Azure ที่เกี่ยวข้องกับเซิร์ฟเวอร์ฐานข้อมูล Customer Support ส่งผลให้ข้อมูลกว่า 250 ล้านรายการสามารถถูกเข้าถึงได้ แต่ยังไม่มีรายงานพบการนำข้อมูลไปใช้ในทางที่ไม่ดี