Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ບົດຄວາມ

10 ອັນດັບ ຄວາມສ່ຽງການໃຊ້ງານ Open Source

Endor Labs ຜູ້​ຊ່ຽວ​ຊານ​ດ້ານ​ຄວາມ​ປອດ​ໄພ ​ໄດ້​ຈັດ​ເຮັດ​ອັນ​ດັບ​ຄວາມ​ສ່ຽງ​ 10 ລາຍ​ການ​ໃນ​ດ້ານ​ການ​ໃຊ້​ງານ Open Source​ (​ຮູບ​ແບບແນວຄວາມຄິດ​ຄ້າຍ​ຄືກັບ​ OWASP Top 10).

ທີມ​ວິ​ໄຈ​ Station 9 ຂອງ​ Endor Labs ໄດ້ເປີດ​ເຜີຍ​ 10 ອັນ​ດັບ​ຄວາມ​ສ່ຽງ​ໄວ້​ດັ່ງ​ນີ້​:

1.) Know Vulnerabilities – ເປັນ​ຄວາມ​ສ່ຽງ​ທີ່​ໂຄ້ດ (Code) ອາດ​ຈະມີ​ຊ່ອງ​ໂຫວ່​ຢູ່​ແລ້ວ​ຈາກ​ນັກ​ພັດທະນາ​ ແລະ​ ອາດຈະ​ມີ​ບັນ​ທຶກ​ໃນ​ CVE ຫຼື ​ການ​ໃຊ້​ໂຈມ​ຕີ​ ຊຶ່ງ​ຍັງ​ບໍ່​ຮັບປະກັນການ​ອັບ​ເດດ​ແພັດ​ແກ້ໄຂ (Patch)​;

2.) Compromise – ແພັກ​ເກດ (Packet) ອາດ​ຈະຖືກ​ແຊກ​ແຊງ ​ຊຶ່ງຄົນ​ຮ້າຍ​ອາດຈະ​ແຝງ​ໂຄ້ດ​ອັນຕະລາຍ​ໄວ້​ພາຍ​ໃນ​;

3.) Name confusion – ຄົນ​ຮ້າຍ​ສ້າງ​ຊື່​ໃຫ້​ຄ້າຍ​ຄືກັນ​ກັບ​ຂອງແທ້ ເຮັດໃຫ້​ຄົນ​ສັບ​ສົນ​ແລ້ວ​ນຳ​ໄປ​ໃຊ້​;

4.) Unmaintained Software – ໂຄງການ​ທີ່​ຖືກປະ​ຖິ້ມ​​ໄວ້​ ບໍ່​ມີ​ການ​ພັດທະນາ​ ຫຼື ​ຄວາມ​ເຄື່ອນ​ໄຫວ​ຕໍ່​ ດັ່ງ​ນັ້ນ​ກໍ່​ອາດຈະ​ບໍ່​ມີ​ແພັດ (Patch) ​​ອອກ​ມາ​ອີກ;

5.) Outdated Software – ໃຊ້​ຊ໋ອບແວ​ເວີຊັ່ນ​ເກົ່າ ​ເຖິງແມ່ນວ່າ​ຈະ​ມີ​ເວີ​​ຊັ່ນຫຼ້າ​ສຸດ​ທີ່ໃໝ່ກວ່າ​ອອກ​ມາ​ກໍ່​ຕາມ​;

6.) Untracked dependencies –  ຜູ້​ພັດທະນາ​ບໍ່​ໄດ້ຮັບ​ຮູ້​ເຖິງ​ສ່ວນ​ປະກອບ​ຍ່ອຍ​ ເນື່ອງ​ຈາກ​ວ່າ​ອາດຈະ​ບໍ່​ປະກົດ​ໃນ​ Software Bill of Material (SBOM); 

7.) License and Regulatory Risk – ການ​ໃຊ້​ງານ​ອາດ​ຈະບໍ່​ຢູ່ໃນ​ເງື່ອນ​ໄຂ​ຂອງ​ License ທີ່​ອະນຸຍາດ​ໃນ​ການ​ນຳ​ໄປ​ໃຊ້​ຕໍ່​;

8.) Immature Software – ເຈົ້າ​ຂອງ​ໂຄງການ​ອາດຈະ​ບໍ່​ໄດ້​ປະຕິບັດ​ຕາມ​ Best Practice ເຊັ່ນ​: ຂາດ​ການ​ທົດສອບ​ທີ່​ດີ​ ເປັນ​ຕົ້ນ​;

9.) Unapproved Change – ສ່ວນ​ປະກອບ​ຖືກ​ປ່ຽນ​ແປງ​ ໂດຍ​ທີ່ນັກ​ພັດທະນາ​ອາດ​ຈະບໍ່​ຮັບ​ຮູ້​ ເຊັ່ນ:​ ລິ້ງ​​ທີ່​ດາວ​ໂຫຼດ​ຊີ້​ໄປ​ຫາຊັບພະຍາກອນ​ທີ່​ບໍ່​ຖືກ​ຕ້ອງ​ ຫຼື ຊັບພະຍາກອນ​ອາດ​ຈະຖືກ​ແກ້​ໄຂ​ຈາກ​ການ​ຖ່າຍ​ໂອນ​ທີ່​ບໍ່​ປອດ​ໄພ;

10.) Under or Over-sized dependency – ສ່ວນ​ປະກອບ​ເຫຼົ່າ​ນັ້ນ​ອາດຈະ​ມີ​ຄຸນສົມບັດ​ຫຼາຍ​ ຫຼື ໜ້ອຍ​ (ເຊັ່ນ:​ npm micro package) ເກີນກວ່າ​ທີ່​ຈະ​ໃຊ້​.

 

ຜູ້ທີ່ສົນ​ໃຈ​ສາມາດ​ຕິດ​ຕາມເນື້ອຫາ​ໄດ້​ທີ່​ https://22601473.fs1.hubspotusercontent-na1.net/hubfs/22601473/EndorLabs_Top10_OSS_Risks.pdf ຊຶ່ງ​ອາດ​ຈະມີ​ການ​ອັບ​ເດດ​ລາຍ​ປີ ຖ້າ​ຫາກ​ມີ​ຄວາມ​ສ່ຽງ​ໃໝ່​ເກີດ​ຂຶ້ນ​ໃນ​ອະນາຄົດ​

 

ເອກະສານອ້າງອີງ:

  1. https://www.securityweek.com/top-10-security-operational-risks-from-open-source-code/
  2. https://www.techtalkthai.com/top-10-open-source-software-risks/

Meesaisak 13 March 2023 996 reads Print