ตอนนี้ทาง GitHub ได้ประกาศให้สมาชิกที่ใช้งานต้องทำเปิดการใช้งาน two-factor authentication (2FA) ซึ่งมีระยะเวลาให้เปิดใช้งานก่อนสิ้นปี 2023 นี้เพื่อช่วยเพิ่มความปลอดภัยของการใช้งานมากยิ่งขึ้นโดยเรื่องนี้ค่อย ๆ ทำการ rollout ในกลุ่มเล็ก ๆ ต้องแต่เดือนมีนาคมแล้ว อย่าลืมไปเปิดกันละครับ
ปกติในการ scan docker image เพื่อหาช่องโหว่ใน imageจะใช้งานผ่าน docker scanให้ทำการเปลี่ยนมาใช้ docker scout แทนใน Docker Desktop ก็สามารถใช้ผ่าน User Interface แบบง่าย ๆ ได้เลย
มาแล้วนะสำหรับ OWASP Kubernetes Top 10โดยทำการสรุปความเสี่ยงที่อาจจะเกิดขึ้นทั้งจาก application และ infrastructureที่ทำการ deploy บน Kubernetes clusterซึ่งจะเป็นแนวทางช่วยเหลือสำหรับ security, system admin และ developer อีกด้วยมีความเสี่ยง 10 ข้อที่แนะนำมา ดังนี้ลองดูรายละเอียดกันนะครับ น่าจะมีประโยชน์
ทางทีมพัฒนา Go ได้ปล่อย Go Vulnerability Management ออกมาเมื่อปลายปี 2022ซึ่งมีเป้าหมายเพื่อตรวจสอบความปลอดภัยของ codeที่เขียนด้วยภาษา Go รวมทั้ง 3-party library ต่าง ๆว่าอาจจะเสี่ยงหรือมีช่องโหว่ในการโจมตีหรือไม่โดยได้ปล่อย CLI tool ทซึ่งเป็น opensource มาให้ใช้งานชื่อว่า vulncheck
เพิ่งเห็นว่าทาง OWASP นั้นได้ทำ project ด้าน security ของ CI/CD ออกมานอกจากจะมี Web, API, Mobile และ Docker Securityเนื่องจาก CI/CD ได้รับความนิยม หรือ เรียกได้ว่าเป็นสิ่งที่ต้องทำเป็นปกติทั้ง environmentทั้ง process การทำงานทั้งระบบงาน และ pipeline การทำงานเพื่อให้สามารถส่งมอบระบบงานได้อย่างรวดเร็ว และ มีคุณภาพ
มาทำความรู้จักและลองใช้งาน GitHub CodeQL กันซึ่งสร้างขึ้นมาเพื่อทำการ scan sourcecode ต่าง ๆเพื่อตรวจสอบหาจุดบกพร่องของ code ในมุมมองของ bug และ securityหรือเป็น Static Application Security Testing (SAST)ซึ่งสามารถเขียน query เพื่อหารูปแบบที่ต้องการได้
ใน blog ของ Docker เรื่อง 10 tips for keeping your Docker containers safe from Log4Shellได้สรุป 10 ข้อ สำหรับการป้องกันปัญหา Log4Shellที่อาจจะเกิดขึ้นได้ใน Docker containerโดยมี Cheat Sheet :: Docker + Snyk log4shell remediation ออกมาให้จึงทำการสรุปสั้น ๆ ไว้หน่อย
หลาย ๆ คนน่าจะกำลังเผชิญอยู่กับปัญหาที่เรียกว่า Spring4Shellหรือจาก CVE-2022-22965 : Spring Framework RCE via Data Binding on JDK 9+โดยทางทีมพัฒนาของ Spring ได้เขียนสรุปปัญหาและการแก้ไขปัญหาต่าง ๆไว้ในบทความนี้ Spring Framework RCE, Early Announcement
ใน Elasticsearch 8 นั้น ถ้าใครลองทำการ download และมาติดตั้งจะพบว่ามีการ enable ระบบ security มาให้เลยโดย defaultโดยในการ start ครั้งแรกแบบอัตโนมัติ
ไปเจอว่าทาง Postman ได้จัด live ด้วยเรื่อง How secure are your APIs?ว่า APIs ที่ดีควรจัดการเรื่องความปลอดภัยพื้นฐานอะไรบ้างลองไปดูกันนะ