TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Endor Labs ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้จัดทำอันดับความเสี่ยง 10 รายการในด้านการใช้งานโอเพ่นซอร์ส (ไอเดียรูปแบบคล้ายกับ OWASP Top 10)
ทีมวิจัย Station 9 ของ Endor Labs ได้เผย 10 อันดับความเสี่ยงไว้ดังนี้
1.) Know Vulnerabilities – เป็นความเสี่ยงที่โค้ดอาจมีช่องโหว่อยู่แล้วจากนักพัฒนาเอง และอาจมีบันทึกใน CVE หรือการใช้โจมตี ทั้งนี้ยังไม่การันตีการอัปเดตแพตช์ด้วย
2.) Compromise – แพ็กเกจอาจถูกแทรกแซงโดยคนร้ายอาจจะแฝงโค้ดอันตรายไว้ภายใน
3.) name confusion – คนร้ายสร้างชื่อให้คล้ายๆกันกับของจริง ทำให้คนสับสนแล้วนำไปใช้
4.) Unmaintained Software – โปรเจ็คที่ถูกทิ้งร้างเอาไว้ ไม่มีการพัฒนาหรือความเคลื่อนไหวต่อ ดังนั้นก็อาจจะไม่มีแพตช์ตามมา
5.) Outdated Software – ใช้ซอฟต์แวร์เวอร์ชันเก่าแม้จะมีเวอร์ชันล่าสุดกว่าออกมาก็ตาม
6.) Untracked dependencies – ผู้พัฒนาไม่ได้รับรู้ถึงส่วนประกอบย่อย เนื่องจากว่าอาจจะไม่ปรากฏใน Software Bill of Material (SBOM)
7.) License and Regulatory Risk – การใช้งานอาจไม่อยู่ในเงื่อนไขของ License ที่อนุญาตในการนำไปใช้ต่อ
8.) Immature Software – เจ้าของโปรเจ็คอาจจะไม่ได้ปฏิบัติตาม Best Practice เช่น ไร้การทดสอบที่ดี เป็นต้น
9.) Unapproved Change – ส่วนประกอบถูกเปลี่ยนแปลงโดยนักพัฒนาอาจไม่รับรู้ เช่น ลิงก์ที่ดาวน์โหลดชี้ไปยังทรัพยากรที่ไม่ถูกต้อง หรือทรัพยากรอาจถูกแก้ไขจากการถ่ายโอนที่ไม่ปลอดภัย
10.) Under or Over-sized dependency – ส่วนประกอบเหล่านั้นอาจมีฟังก์ชันมากหรือน้อย (เช่น npm micro package)เกินที่จะใช้
ผู้สนใจสามารถติตตามเนื้อหาจริงได้ที่ https://22601473.fs1.hubspotusercontent-na1.net/hubfs/22601473/EndorLabs_Top10_OSS_Risks.pdf โดยอาจมีการอัปเดตรายปีหากมีความเสี่ยงใหม่เกิดขึ้นในอนาคต
ที่มา : https://www.securityweek.com/top-10-security-operational-risks-from-open-source-code/
