CDIC 2023

ทีมพัฒนา NPM พบ 51% ของ JavaScript Package ที่ถูกเรียกใช้งาน มีช่องโหว่อย่างน้อย 1 รายการ

หลังจากทีมพัฒนา NPM ได้เริ่มมีการเสริมความสามารถในการ Audit ว่า Dependency ที่ใช้นั้นมีช่องโหว่หรือไม่ เพื่อช่วยบรรเทาปัญหาด้าน Security ที่เกิดขึ้นกับโครงการต่างๆ ก็พบว่า 51% ของการ Audit ที่เกิดขึ้นโดยอัตโนมัติเมื่อผู้ใช้งานทำการใช้คำสั่ง npm install และ npm audit นั้น มีช่องโหว่อย่างน้อย 1 รายการปรากฏอยู่ใน Package Dependency โดย 11% ในนั้นเป็นช่องโหว่ความรุนแรงระดับสูงสุด

 

Credit: NPM

 

Adam Baldwin ผู้ดำรงตำแหน่ง Head of Security แห่ง NPM ได้ออกมาให้สัมภาษณ์กับ The Register ว่าเขาเองก็ไม่มีข้อมูลว่าผู้ใช้งานได้ทำการซ่อมแซมหรือแก้ไขระบบของตัวเองให้ปลอดภัยหลังจากที่ระบบ Audit ตรวจเจอช่องโหว่หรือไม่ แต่เขาก็สังเกตจากข้อมูลของ Pull Request และพบว่าปัญหานี้มีแนวโน้มที่ดีขึ้น และหลังจากนี้ทาง NPM เองก็อาจมีมาตรการควบคุมใหม่ๆ ที่ได้ผลมากขึ้นกว่าการแจ้งเตือนผู้ใช้งานเท่านั้น

ความสามารถในการ Audit เบื้องต้นให้กับโครงการ Open Source ที่นำมาใช้งานได้นี้จะช่วยให้เหล่าองค์กรสามารถปฏิบัติตาม Compliance และกฎเกณฑ์ต่างๆ ได้ดีขึ้น เพื่อให้ระบบมีความมั่นคงปลอดภัยสูงขึ้นและมีความเสี่ยงที่จะถูกโจมตีได้น้อยลง

ล่าสุดเมื่อวันพุธที่ผ่านมา ทาง NPM เองก็ได้มีการเสริมปุ่ม Report a Vulnerability เพิ่มเติมในทุกๆ หน้าของ NPM Package แล้ว รวมถึงยังมีการตรวจสอบหาค่า Hash ของรหัสผ่านในขั้นตอนการสร้าง Account ด้วยว่ารหัสผ่านดังกล่าวเคยรั่วไหลออกไปหรือยัง เพื่อช่วยให้ผู้ใช้งานได้ใช้รหัสผ่านที่ปลอดภัย

 

ที่มา: https://www.theregister.co.uk/2018/08/22/npm_vulnerability_scanner/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cisco ออกแพตช์อุดช่องโหว่ Zero-day บน IOS ผู้ดูแลระบบควรอัปเดตทันที

Cisco ออกแพตช์อุดช่องโหว่ Zero-day บน IOS และ IOS XE Software ผู้ดูแลระบบควรอัปเดตทันที

การ์ทเนอร์ชี้ 6 กลยุทธ์ที่ผู้นำทีม Software Engineering ต้องทราบในปี 2023

การมีกลยุทธ์ถือเป็นเรื่องที่ดีเพราะแนวปฏิบัติเหล่านี้จะช่วยให้องค์กรมีกรอบที่จะเป็นไป ให้อยู่เหนือการเปลี่ยนแปลงของกระแสเทคโนโลยี ในมุมของ Software Engineering การ์ทเนอร์ได้แนะนำ 6 กลยุทธ์ไว้ดังนี้