TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
หลังจากมีการค้นพบและแพตซ์ช่องโหว่ Deserialization (หรือในอีกชื่อหนึ่ง: Mad Gadget) ใน Apache Commons Collections และซอฟต์แวร์สำหรับองค์กรหลายตัว พนักงานหญิงของกูเกิลคนหนึ่งค้นพบว่าโปรเจคโอเพ่นซอร์สบน github จำนวนมากยังคงมีช่องโหว่นี้อยู่ และนั่นเป็นจุดเริ่มต้นของปฏิบัติการแพตซ์โปรเจคโอเพ่นซอร์สมากกว่า 2,000 โปรเจคบน github
ช่องโหว่ Deserialization ที่ว่านี้มีอยู่ใน Apache Commons Collections 7 เวอร์ชั่น (3.0, 3.1, 3.2, 3.2.1 และ 4.0) ซึ่งเป็นทื่ใช้กันอย่างแพร่หลายในซอฟต์แวร์ธุรกิจที่มีการ deserialize และส่งข้อมูลข้าม network ส่งผลให้ข้อมูลเหล่านี้ถูกจารกรรมได้โดยง่าย
แต่โปรเจคโอเพ่นซอร์สนั้นไม่เหมือนซอฟต์แวร์ธุรกิจที่มักมีการเฝ้าระวังด้านความปลอดภัยอยู่ตลอด พนักงานหญิงคนหนึ่งของกูเกิลค้นพบในเดือนมีนาคมปี 2016 ว่ายังมีโปรเจคโอเพ่นซอร์สจำนวนไม่น้อยเลยที่ยังมีช่องโหว่นี้ เธอจึงเริ่มส่ง pull request ไปยังโปรเจคต่างๆเพื่อขอแก้ไขโค้ดเพื่อแพตซ์ช่องโหว่นี้ การแก้ไขนี้สามารถทำได้อย่างง่ายและรวดเร็ว ไม่นานนักเธอจึงเริ่มชักชวนเพื่อนร่วมงานเข้ามาช่วยแพตซ์ช่องโหว่นี้ด้วยกัน
Operation Rosehub จึงเป็นปฏิบัติการที่เกิดขึ้นจากเหล่าพนักงานเองโดยไม่มีคำสั่งจากฝ่ายบริหารแต่อย่างใด ปฏิบัติการนี้มีพนักงานเข้าร่วมด้วยความสมัครใจทั้งหมด 50 คน และได้ส่งแพตซ์ไปยังโปรเจคที่มีปัญหาตามมผลการค้นหาด้วย regular expression ใน dataset ของ github ด้วย BigQuery ถึง 2600 โปรเจค หนึ่งในโปรเจคเหล่านั้นคือโปรเจคโอเพ่นซอร์สยอดนิยมอย่าง Spring Framework ซึ่งการแพตซ์จะช่วยปิดช่องโหว่กับซอฟต์แวร์ที่ใช้ framework นี้จำนวนมหาศาล
ทั้งนี้ทั้งนั้น หากเป็นการแพตซ์โปรแกรมภายใน กูเกิลเองมีเครื่องมือที่สามารถแก้ไขโค้ดใน codebase จำนวนมากไปพร้อมๆกันได้ในครั้งเดียวที่ชื่อว่า Rosie ทางทีมงานหวังว่าในอนาคตชุมชน opensource และ github จะเล็งเห็นความสำคัญของการมีเครื่องมือดังกล่าว
ที่มา: https://opensource.googleblog.com/2017/03/operation-rosehub.html
