ใน blog ของ Docker เรื่อง 10 tips for keeping your Docker containers safe from Log4Shellได้สรุป 10 ข้อ สำหรับการป้องกันปัญหา Log4Shellที่อาจจะเกิดขึ้นได้ใน Docker containerโดยมี Cheat Sheet :: Docker + Snyk log4shell remediation ออกมาให้จึงทำการสรุปสั้น ๆ ไว้หน่อย
หลาย ๆ คนน่าจะกำลังเผชิญอยู่กับปัญหาที่เรียกว่า Spring4Shellหรือจาก CVE-2022-22965 : Spring Framework RCE via Data Binding on JDK 9+โดยทางทีมพัฒนาของ Spring ได้เขียนสรุปปัญหาและการแก้ไขปัญหาต่าง ๆไว้ในบทความนี้ Spring Framework RCE, Early Announcement
ใน Elasticsearch 8 นั้น ถ้าใครลองทำการ download และมาติดตั้งจะพบว่ามีการ enable ระบบ security มาให้เลยโดย defaultโดยในการ start ครั้งแรกแบบอัตโนมัติ
ไปเจอว่าทาง Postman ได้จัด live ด้วยเรื่อง How secure are your APIs?ว่า APIs ที่ดีควรจัดการเรื่องความปลอดภัยพื้นฐานอะไรบ้างลองไปดูกันนะ
เห็นในโลก online มีการทำ meme ของปัญหา Log4Shell ออกมาเลยทำการบันทึกไว้นิดหน่อยใครเห็นเพิ่มเติม แนะนำมาได้นะครับ
หลังจากอ่านบทความเรื่อง Guide: How To Detect and Mitigate the Log4Shell Vulnerability (CVE-2021-44228)เกี่ยวกับแนวทางการแก้ไขปัญหาของ Log4j version 2 แล้วมีสิ่งที่น่าสนใจคือ คำแนะนำต่าง ๆ หรือบทความในโลก online มีทั้งผิดและล้าสมัย มีคำแนะนำที่ไม่ดีมากมาย เช่น แก้ไขด้วย WAF หรือ ทำการ upgrade version ของ Java หรือ update format ของ log เป็นต้น
จากปัญหาของ Log4j core ที่มีช่องโหว่ในการโจมตี จาก CVE-2021-44228ซึ่งทาง Spring ได้ออกมาอธิบาย รวมทั้งวิธีการตรวจสอบ แก้ไขต่าง ๆ ไว้ดังนี้
ว่าง ๆ มาดูกันหน่อยว่า มีเครื่องมืออะไรที่น่าสนใจสำหรับการ scan code ทางด้าน security ที่นักพัฒนาสามารถนำมาใช้ได้ง่าย ๆเพื่อช่วยเพิ่มความมั่นใจในการพัฒนาระบบมากยิ่งขึ้นรวมทั้งการใช้งานไม่ยากสามารถนำมาใช้กับ developer workflow ได้ง่ายและได้รับ feedback ที่รวดเร็วเพื่อช่วยให้ปรับปรุงได้อย่างรวดเร็วขึ้น (Learning process)
อ่านเอกสาร NodeJS Docker Cheatsheet จาก OWASP ทำการอธิบายถึงการใช้งาน Docker กับระบบที่พัฒนาด้วย NodeJS ไว้ว่าควรต้องทำอย่างไรบ้างเพื่อให้ปลอดภัยมากยิ่งขึ้น
ไปเจอเครื่องมือชื่อว่า cosignสำหรับการ Signed Image แบบง่าย ๆ เพื่อเพิ่มความปลอดภัยในการใช้งาน Container Imageโดยไม่ต้องแก้ไขหรือเพิ่ม configuration อะไร
