security Archive

ทาง GitHub บังคับให้ต้องใช้งาน Two-factor authentication (2FA) ก่อนสิ้นปี 2023

ตอนนี้ทาง GitHub ได้ประกาศให้สมาชิกที่ใช้งานต้องทำเปิดการใช้งาน two-factor authentication (2FA) ซึ่งมีระยะเวลาให้เปิดใช้งานก่อนสิ้นปี 2023 นี้เพื่อช่วยเพิ่มความปลอดภัยของการใช้งานมากยิ่งขึ้นโดยเรื่องนี้ค่อย ๆ ทำการ rollout ในกลุ่มเล็ก ๆ ต้องแต่เดือนมีนาคมแล้ว อย่าลืมไปเปิดกันละครับ

Read More…

Docker scan ถูกเอาออกไปแล้ว แทนที่ด้วย Docker Scout

ปกติในการ scan docker image เพื่อหาช่องโหว่ใน imageจะใช้งานผ่าน docker scanให้ทำการเปลี่ยนมาใช้ docker scout แทนใน Docker Desktop ก็สามารถใช้ผ่าน User Interface แบบง่าย ๆ ได้เลย

Read More…

มาแล้วนะ OWASP Kubernetes Top 10

มาแล้วนะสำหรับ OWASP Kubernetes Top 10โดยทำการสรุปความเสี่ยงที่อาจจะเกิดขึ้นทั้งจาก application และ infrastructureที่ทำการ deploy บน Kubernetes clusterซึ่งจะเป็นแนวทางช่วยเหลือสำหรับ security, system admin และ developer อีกด้วยมีความเสี่ยง 10 ข้อที่แนะนำมา ดังนี้ลองดูรายละเอียดกันนะครับ น่าจะมีประโยชน์

Read More…

ลองใช้งาน Go Vulnerability Management ในการตรวจสอบเรื่องความปลอดภัย

ทางทีมพัฒนา Go ได้ปล่อย Go Vulnerability Management ออกมาเมื่อปลายปี 2022ซึ่งมีเป้าหมายเพื่อตรวจสอบความปลอดภัยของ codeที่เขียนด้วยภาษา Go รวมทั้ง 3-party library ต่าง ๆว่าอาจจะเสี่ยงหรือมีช่องโหว่ในการโจมตีหรือไม่โดยได้ปล่อย CLI tool ทซึ่งเป็น opensource มาให้ใช้งานชื่อว่า vulncheck

Read More…

น่าสนใจกับ Top 10 CI/CD Security Risks จาก OWASP

เพิ่งเห็นว่าทาง OWASP นั้นได้ทำ project ด้าน security ของ CI/CD ออกมานอกจากจะมี Web, API, Mobile และ Docker Securityเนื่องจาก CI/CD ได้รับความนิยม หรือ เรียกได้ว่าเป็นสิ่งที่ต้องทำเป็นปกติทั้ง environmentทั้ง process การทำงานทั้งระบบงาน และ pipeline การทำงานเพื่อให้สามารถส่งมอบระบบงานได้อย่างรวดเร็ว และ มีคุณภาพ

Read More…

สวัสดี Github’s CodeQL กัน

มาทำความรู้จักและลองใช้งาน GitHub CodeQL กันซึ่งสร้างขึ้นมาเพื่อทำการ scan sourcecode ต่าง ๆเพื่อตรวจสอบหาจุดบกพร่องของ code ในมุมมองของ bug และ securityหรือเป็น Static Application Security Testing (SAST)ซึ่งสามารถเขียน query เพื่อหารูปแบบที่ต้องการได้

Read More…

สรุปแนวทางการป้องกันปัญหา Log4Shell สำหรับ Docker container

ใน blog ของ Docker เรื่อง 10 tips for keeping your Docker containers safe from Log4Shellได้สรุป 10 ข้อ สำหรับการป้องกันปัญหา Log4Shellที่อาจจะเกิดขึ้นได้ใน Docker containerโดยมี Cheat Sheet :: Docker + Snyk log4shell remediation ออกมาให้จึงทำการสรุปสั้น ๆ ไว้หน่อย

Read More…

Update สถานการณ์ของปัญหา Spring4Shell

หลาย ๆ คนน่าจะกำลังเผชิญอยู่กับปัญหาที่เรียกว่า Spring4Shellหรือจาก CVE-2022-22965 : Spring Framework RCE via Data Binding on JDK 9+โดยทางทีมพัฒนาของ Spring ได้เขียนสรุปปัญหาและการแก้ไขปัญหาต่าง ๆไว้ในบทความนี้ Spring Framework RCE, Early Announcement

Read More…

Elasticsearch 8 จะเปิด security by default

ใน Elasticsearch 8 นั้น ถ้าใครลองทำการ download และมาติดตั้งจะพบว่ามีการ enable ระบบ security มาให้เลยโดย defaultโดยในการ start ครั้งแรกแบบอัตโนมัติ

Read More…

Postman :: Live ว่าด้วยเรื่อง Secure APIs

ไปเจอว่าทาง Postman ได้จัด live ด้วยเรื่อง How secure are your APIs?ว่า APIs ที่ดีควรจัดการเรื่องความปลอดภัยพื้นฐานอะไรบ้างลองไปดูกันนะ

Read More…