10 อันดับความเสี่ยงการใช้งานโอเพ่นซอร์ส

Endor Labs ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้จัดทำอันดับความเสี่ยง 10 รายการในด้านการใช้งานโอเพ่นซอร์ส (ไอเดียรูปแบบคล้ายกับ OWASP Top 10) 

ทีมวิจัย Station 9 ของ Endor Labs ได้เผย 10 อันดับความเสี่ยงไว้ดังนี้

1.) Know Vulnerabilities – เป็นความเสี่ยงที่โค้ดอาจมีช่องโหว่อยู่แล้วจากนักพัฒนาเอง และอาจมีบันทึกใน CVE หรือการใช้โจมตี ทั้งนี้ยังไม่การันตีการอัปเดตแพตช์ด้วย

2.) Compromise – แพ็กเกจอาจถูกแทรกแซงโดยคนร้ายอาจจะแฝงโค้ดอันตรายไว้ภายใน

3.) name confusion – คนร้ายสร้างชื่อให้คล้ายๆกันกับของจริง ทำให้คนสับสนแล้วนำไปใช้

4.) Unmaintained Software – โปรเจ็คที่ถูกทิ้งร้างเอาไว้ ไม่มีการพัฒนาหรือความเคลื่อนไหวต่อ ดังนั้นก็อาจจะไม่มีแพตช์ตามมา

5.) Outdated Software – ใช้ซอฟต์แวร์เวอร์ชันเก่าแม้จะมีเวอร์ชันล่าสุดกว่าออกมาก็ตาม

6.) Untracked dependencies –  ผู้พัฒนาไม่ได้รับรู้ถึงส่วนประกอบย่อย เนื่องจากว่าอาจจะไม่ปรากฏใน Software Bill of Material (SBOM

7.) License and Regulatory Risk – การใช้งานอาจไม่อยู่ในเงื่อนไขของ License ที่อนุญาตในการนำไปใช้ต่อ

8.) Immature Software – เจ้าของโปรเจ็คอาจจะไม่ได้ปฏิบัติตาม Best Practice เช่น ไร้การทดสอบที่ดี เป็นต้น

9.) Unapproved Change – ส่วนประกอบถูกเปลี่ยนแปลงโดยนักพัฒนาอาจไม่รับรู้ เช่น ลิงก์ที่ดาวน์โหลดชี้ไปยังทรัพยากรที่ไม่ถูกต้อง หรือทรัพยากรอาจถูกแก้ไขจากการถ่ายโอนที่ไม่ปลอดภัย

10.) Under or Over-sized dependency – ส่วนประกอบเหล่านั้นอาจมีฟังก์ชันมากหรือน้อย (เช่น npm micro package)เกินที่จะใช้

ผู้สนใจสามารถติตตามเนื้อหาจริงได้ที่ https://22601473.fs1.hubspotusercontent-na1.net/hubfs/22601473/EndorLabs_Top10_OSS_Risks.pdf โดยอาจมีการอัปเดตรายปีหากมีความเสี่ยงใหม่เกิดขึ้นในอนาคต

ที่มา : https://www.securityweek.com/top-10-security-operational-risks-from-open-source-code/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google Chrome Enhanced Protection ปกป้องผู้ใช้จากภัยคุกคามออนไลน์ได้กว่า 1 พันล้านรายแล้ว

Google ฉลองก้าวสำคัญ โดยประกาศว่าโหมด Enhanced Protection ใน Chrome ซึ่งใช้ปัญญาประดิษฐ์ (AI) และแมชชีนเลิร์นนิงเพื่อตรวจจับและบล็อกภัยคุกคามออนไลน์แบบเรียลไทม์ ขณะนี้สามารถปกป้องผู้ใช้ได้กว่า 1 พันล้านรายจากฟิชชิงและการหลอกลวงออนไลน์แล้ว

Microsoft ออกแพตช์ประจำเดือนกุมภาพันธ์ 2025 แก้ไขช่องโหว่ Zero-day 4 รายการและช่องโหว่อื่นอีก 55 รายการ

Microsoft ออกอัปเดตความปลอดภัยประจำเดือนกุมภาพันธ์ 2025 แก้ไขช่องโหว่ทั้งหมด 55 รายการ รวมถึงช่องโหว่ Zero-day 4 รายการ โดยมี 2 รายการที่ถูกนำไปใช้โจมตีแล้ว