Endor Labs ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้จัดอันดับความเสี่ยง 10 รายการในด้านการใช้งาน Open Source (ซึ่งรูปแบบไอเดียจะคล้ายกับ OWASP Top 10)
สำหรับ Endor Labs เป็นบริษัทสตาร์ทอัพที่มีสำนักงานใหญ่ในพาโลอัลโต รัฐแคลิฟอร์เนีย ที่ก่อตั้งขึ้นในปี 2564 โดยมี ดิมิทรี สติเลียดิส เป็น (CTO) และ วรุณ บาดห์วาร์ เป็น (CEO) โดยเป็นบริษัทที่ให้ความสำคัญกับความซับซ้อนและภัยคุกคามจากการใช้ OSS ในการพัฒนาแอปพลิเคชันเชิงพาณิชย์ที่เพิ่มมากขึ้น
โดยทีมงานวิจัย Station 9 ของ Endor Labs ได้ออกมาเผย 10 อันดับความเสี่ยงที่สำคัญที่สุด (security and/or ops) โดยให้คำอธิบายไว้ดังนี้
1. Know Vulnerabilities : นั้นเป็นความเสี่ยงที่โค้ดอาจมีช่องโหว่อยู่แล้ว (จากนักพัฒนาเอง) หรืออาจมีบันทึกใน CVE และการใช้โจมตี อย่างไรก็ตามในขณะนี้ยังไม่การันตีการอัปเดตแพตช์ด้วย
2. Compromise : แพ็กเกจที่อาจถูกแทกแซงโดยคนร้าย ที่อาจจะแฝงโค้ดอันตรายไว้ภายใน
3. name confusion : คนร้ายนั้นสร้างชื่อคล้ายๆ กันกับของจริง ซึ่งจะทำให้คนสับสนแล้วนำไปใช้
4. Unmaintained Software : โปรเจ็คที่ถูกทิ้งร้างเอาไว้ ไม่มีการพัฒนาหรือความคลื่อนไหวต่อ ฉะนั้นอาจจะไม่มีแพตช์ตามมา
5. Outdated Software : ใช้ซอฟต์แวร์เวอร์ชันเก่า ถึงแม้จะมีเวอร์ชันล่าสุดกว่าออกมาแล้วก็ตาม
6. Untracked dependencies : ด้านผู้พัฒนาไม่ได้รับรู้ถึงส่วนประกอบย่อย เนื่องจากว่าอาจไม่ปรากฏใน Software Bill of Material (SBOM)
7. License and Regulatory Risk : การใช้งานอาจไม่อยู่ในเงื่อนไขของ License ที่อนุญาตในการนำไปใช้ต่อ
8. Immature Software : เจ้าของโปรเจ็คอาจไม่ได้ปฏิบัติตาม Best Practice เช่น ไร้การทดสอบที่ดี เป็นต้น!
9. Unapproved Change : ส่วนประกอบถูกเปลี่ยนแปลงโดยนักพัฒนาอาจไม่รับรู้ เช่น ลิงก์ที่ดาวน์โหลดชี้ไปยังทรัพยากรที่ไม่ถูกต้อง หรือทรัพยากรอาจถูกแก้ไขจากการถ่ายโอนที่ไม่ปลอดภัย
10. Under or Over-sized dependency : ส่วนประกอบเหล่านั้นอาจมีฟังก์ชันมากหรือน้อย (เช่น npm micro package) เกินที่จะใช้
ภาพจาก : 22601473.
--Wynnsoft Solution รับทำเว็บไซต์ รับทำ SEO รับทำการตลาดออนไลน์ รับทำโฆษณา Facebook รับทำเว็บไซต์ ขอนแก่น และรับทำเว็บไซต์ทั่วประเทศ—
ข้อมูลจาก : 22601473.fs1.hubspotusercontent-na1.net / securityweek / techtalkthai