Cybersecurity

เกือบทุก Open Source Code มีช่องโหว่อยู่ไม่มากก็น้อย

โค้ดจาก Open-Source ในแอปพลิเคชั่นแทบทั้งหมดมีช่องโหว่อย่างน้อย 1 อย่าง

1 ใน 3 ของการตรวจสอบ Codebase ยังมีโค้ด Apache Struts ที่เป็นสาเหตุให้ Equifax โดนแฮกเมื่อปีที่ผ่านมา

โค้ด Open-Source หรือโค้ดที่เปิดให้นักพัฒนานำไปดัดแปลงและใช้งานตามความต้องการ Open Source เป็นที่นิยมในซอฟต์แวร์และแอปพลิเคชั่นทางการค้า แต่ในด้านความปลอดภัยกลับไม่ไปในทางเดียวกัน

จากการวิเคราะห์ข้อมูลโค้ดมากกว่า 1,100 โค้ด ในปี 2017 ของ Black Duck โดย Synopsys พบว่า 96% ของโค้ดมี Open-Source เป็นส่วนประกอบ

ความ(ไม่)ปลอดภัย

สิ่งหนึ่งที่น่าเป็นห่วงก็คือ 78% ของ Codebases จะมีอย่างน้อย 1 ช่องโหว่ และพบว่าบัคส่วนมาก (54%) ถูกจัดว่าเป็นอันตรายCapture-11-768x669

เหตุการณ์แฮกที่เกิดขึ้นกับ Equifax ที่เริ่มต้นขึ้นเมื่อเดือนพฤษภาคม 2017 ก่อนที่จะถูกเปิดเผยใน 4 เดือนต่อมา โดยช่องโหว่ที่เกิดกับซอฟต์แวร์ Apache Struts ซึ่งผู้ผลิตได้ปล่อยอัพเดตออกมาก่อนที่เกิดเหตุการณ์ล้วงข้อมูลเพียง 2 เดือนเท่านั้น และทาง Open Source Security and Risk Analysis (OSSRA) บอกว่า 1 ใน 3 ของแอปพลิเคชั่นที่ใช้ Apache Struts ยังคงมีช่องโหว่นี้อยู่

Author: Tomáš Foltýn
Source:
https://www.welivesecurity.com/2018/05/18/open-source-code-vulnerabilities/
Translated by: Worapon H.

%d bloggers like this: