10 ອັນດັບ ຄວາມສ່ຽງການໃຊ້ງານ Open Source
Endor Labs ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພ ໄດ້ຈັດເຮັດອັນດັບຄວາມສ່ຽງ 10 ລາຍການໃນດ້ານການໃຊ້ງານ Open Source (ຮູບແບບແນວຄວາມຄິດຄ້າຍຄືກັບ OWASP Top 10).
ທີມວິໄຈ Station 9 ຂອງ Endor Labs ໄດ້ເປີດເຜີຍ 10 ອັນດັບຄວາມສ່ຽງໄວ້ດັ່ງນີ້:
1.) Know Vulnerabilities – ເປັນຄວາມສ່ຽງທີ່ໂຄ້ດ (Code) ອາດຈະມີຊ່ອງໂຫວ່ຢູ່ແລ້ວຈາກນັກພັດທະນາ ແລະ ອາດຈະມີບັນທຶກໃນ CVE ຫຼື ການໃຊ້ໂຈມຕີ ຊຶ່ງຍັງບໍ່ຮັບປະກັນການອັບເດດແພັດແກ້ໄຂ (Patch);
2.) Compromise – ແພັກເກດ (Packet) ອາດຈະຖືກແຊກແຊງ ຊຶ່ງຄົນຮ້າຍອາດຈະແຝງໂຄ້ດອັນຕະລາຍໄວ້ພາຍໃນ;
3.) Name confusion – ຄົນຮ້າຍສ້າງຊື່ໃຫ້ຄ້າຍຄືກັນກັບຂອງແທ້ ເຮັດໃຫ້ຄົນສັບສົນແລ້ວນຳໄປໃຊ້;
4.) Unmaintained Software – ໂຄງການທີ່ຖືກປະຖິ້ມໄວ້ ບໍ່ມີການພັດທະນາ ຫຼື ຄວາມເຄື່ອນໄຫວຕໍ່ ດັ່ງນັ້ນກໍ່ອາດຈະບໍ່ມີແພັດ (Patch) ອອກມາອີກ;
5.) Outdated Software – ໃຊ້ຊ໋ອບແວເວີຊັ່ນເກົ່າ ເຖິງແມ່ນວ່າຈະມີເວີຊັ່ນຫຼ້າສຸດທີ່ໃໝ່ກວ່າອອກມາກໍ່ຕາມ;
6.) Untracked dependencies – ຜູ້ພັດທະນາບໍ່ໄດ້ຮັບຮູ້ເຖິງສ່ວນປະກອບຍ່ອຍ ເນື່ອງຈາກວ່າອາດຈະບໍ່ປະກົດໃນ Software Bill of Material (SBOM);
7.) License and Regulatory Risk – ການໃຊ້ງານອາດຈະບໍ່ຢູ່ໃນເງື່ອນໄຂຂອງ License ທີ່ອະນຸຍາດໃນການນຳໄປໃຊ້ຕໍ່;
8.) Immature Software – ເຈົ້າຂອງໂຄງການອາດຈະບໍ່ໄດ້ປະຕິບັດຕາມ Best Practice ເຊັ່ນ: ຂາດການທົດສອບທີ່ດີ ເປັນຕົ້ນ;
9.) Unapproved Change – ສ່ວນປະກອບຖືກປ່ຽນແປງ ໂດຍທີ່ນັກພັດທະນາອາດຈະບໍ່ຮັບຮູ້ ເຊັ່ນ: ລິ້ງທີ່ດາວໂຫຼດຊີ້ໄປຫາຊັບພະຍາກອນທີ່ບໍ່ຖືກຕ້ອງ ຫຼື ຊັບພະຍາກອນອາດຈະຖືກແກ້ໄຂຈາກການຖ່າຍໂອນທີ່ບໍ່ປອດໄພ;
10.) Under or Over-sized dependency – ສ່ວນປະກອບເຫຼົ່ານັ້ນອາດຈະມີຄຸນສົມບັດຫຼາຍ ຫຼື ໜ້ອຍ (ເຊັ່ນ: npm micro package) ເກີນກວ່າທີ່ຈະໃຊ້.
ຜູ້ທີ່ສົນໃຈສາມາດຕິດຕາມເນື້ອຫາໄດ້ທີ່ https://22601473.fs1.hubspotusercontent-na1.net/hubfs/22601473/EndorLabs_Top10_OSS_Risks.pdf ຊຶ່ງອາດຈະມີການອັບເດດລາຍປີ ຖ້າຫາກມີຄວາມສ່ຽງໃໝ່ເກີດຂຶ້ນໃນອະນາຄົດ
ເອກະສານອ້າງອີງ:
Meesaisak 13 March 2023 1469 reads
Print
Endor Labs ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພ ໄດ້ຈັດເຮັດອັນດັບຄວາມສ່ຽງ 10 ລາຍການໃນດ້ານການໃຊ້ງານ Open Source (ຮູບແບບແນວຄວາມຄິດຄ້າຍຄືກັບ OWASP Top 10).
ທີມວິໄຈ Station 9 ຂອງ Endor Labs ໄດ້ເປີດເຜີຍ 10 ອັນດັບຄວາມສ່ຽງໄວ້ດັ່ງນີ້:
1.) Know Vulnerabilities – ເປັນຄວາມສ່ຽງທີ່ໂຄ້ດ (Code) ອາດຈະມີຊ່ອງໂຫວ່ຢູ່ແລ້ວຈາກນັກພັດທະນາ ແລະ ອາດຈະມີບັນທຶກໃນ CVE ຫຼື ການໃຊ້ໂຈມຕີ ຊຶ່ງຍັງບໍ່ຮັບປະກັນການອັບເດດແພັດແກ້ໄຂ (Patch);
2.) Compromise – ແພັກເກດ (Packet) ອາດຈະຖືກແຊກແຊງ ຊຶ່ງຄົນຮ້າຍອາດຈະແຝງໂຄ້ດອັນຕະລາຍໄວ້ພາຍໃນ;
3.) Name confusion – ຄົນຮ້າຍສ້າງຊື່ໃຫ້ຄ້າຍຄືກັນກັບຂອງແທ້ ເຮັດໃຫ້ຄົນສັບສົນແລ້ວນຳໄປໃຊ້;
4.) Unmaintained Software – ໂຄງການທີ່ຖືກປະຖິ້ມໄວ້ ບໍ່ມີການພັດທະນາ ຫຼື ຄວາມເຄື່ອນໄຫວຕໍ່ ດັ່ງນັ້ນກໍ່ອາດຈະບໍ່ມີແພັດ (Patch) ອອກມາອີກ;
5.) Outdated Software – ໃຊ້ຊ໋ອບແວເວີຊັ່ນເກົ່າ ເຖິງແມ່ນວ່າຈະມີເວີຊັ່ນຫຼ້າສຸດທີ່ໃໝ່ກວ່າອອກມາກໍ່ຕາມ;
6.) Untracked dependencies – ຜູ້ພັດທະນາບໍ່ໄດ້ຮັບຮູ້ເຖິງສ່ວນປະກອບຍ່ອຍ ເນື່ອງຈາກວ່າອາດຈະບໍ່ປະກົດໃນ Software Bill of Material (SBOM);
7.) License and Regulatory Risk – ການໃຊ້ງານອາດຈະບໍ່ຢູ່ໃນເງື່ອນໄຂຂອງ License ທີ່ອະນຸຍາດໃນການນຳໄປໃຊ້ຕໍ່;
8.) Immature Software – ເຈົ້າຂອງໂຄງການອາດຈະບໍ່ໄດ້ປະຕິບັດຕາມ Best Practice ເຊັ່ນ: ຂາດການທົດສອບທີ່ດີ ເປັນຕົ້ນ;
9.) Unapproved Change – ສ່ວນປະກອບຖືກປ່ຽນແປງ ໂດຍທີ່ນັກພັດທະນາອາດຈະບໍ່ຮັບຮູ້ ເຊັ່ນ: ລິ້ງທີ່ດາວໂຫຼດຊີ້ໄປຫາຊັບພະຍາກອນທີ່ບໍ່ຖືກຕ້ອງ ຫຼື ຊັບພະຍາກອນອາດຈະຖືກແກ້ໄຂຈາກການຖ່າຍໂອນທີ່ບໍ່ປອດໄພ;
10.) Under or Over-sized dependency – ສ່ວນປະກອບເຫຼົ່ານັ້ນອາດຈະມີຄຸນສົມບັດຫຼາຍ ຫຼື ໜ້ອຍ (ເຊັ່ນ: npm micro package) ເກີນກວ່າທີ່ຈະໃຊ້.
ຜູ້ທີ່ສົນໃຈສາມາດຕິດຕາມເນື້ອຫາໄດ້ທີ່ https://22601473.fs1.hubspotusercontent-na1.net/hubfs/22601473/EndorLabs_Top10_OSS_Risks.pdf ຊຶ່ງອາດຈະມີການອັບເດດລາຍປີ ຖ້າຫາກມີຄວາມສ່ຽງໃໝ່ເກີດຂຶ້ນໃນອະນາຄົດ
ເອກະສານອ້າງອີງ: