Dependency Track คือระบบที่ทำการวิเคราห์ข้อมูล SBOM (Software Bill of Materials) ของระบบงานต่าง ๆ ซึ่งสนับสนุนโดย OWASP นั่นเองโดยจะช่วยตรวจสอบว่า component หรือ library ที่เราใช้ในระบบงานนั้นมีปัญหา หรือ ช่องโหว่ใดบ้างซึ่งจะตรวจสอบจากฐานข้อมูลต่าง ๆ เช่น CVE Database เป็นต้นและแสดงผลในรูปแบบที่เข้าใจง่าย และ tracking ได้ง่าย
จากข่าวเรื่อง XZ Utils backdoor นั้น โดย code อยู่ที่ xz repoซึ่งมีการแจ้งปัญหาไว้ดังนี้ ดังนั้นสำหรับชาว Mac มาตรวจสอบกันหน่อยถึงจะไม่กระทบก็ตาม
ตอนนี้ทาง GitHub ได้ประกาศให้สมาชิกที่ใช้งานต้องทำเปิดการใช้งาน two-factor authentication (2FA) ซึ่งมีระยะเวลาให้เปิดใช้งานก่อนสิ้นปี 2023 นี้เพื่อช่วยเพิ่มความปลอดภัยของการใช้งานมากยิ่งขึ้นโดยเรื่องนี้ค่อย ๆ ทำการ rollout ในกลุ่มเล็ก ๆ ต้องแต่เดือนมีนาคมแล้ว อย่าลืมไปเปิดกันละครับ
ปกติในการ scan docker image เพื่อหาช่องโหว่ใน imageจะใช้งานผ่าน docker scanให้ทำการเปลี่ยนมาใช้ docker scout แทนใน Docker Desktop ก็สามารถใช้ผ่าน User Interface แบบง่าย ๆ ได้เลย
มาแล้วนะสำหรับ OWASP Kubernetes Top 10โดยทำการสรุปความเสี่ยงที่อาจจะเกิดขึ้นทั้งจาก application และ infrastructureที่ทำการ deploy บน Kubernetes clusterซึ่งจะเป็นแนวทางช่วยเหลือสำหรับ security, system admin และ developer อีกด้วยมีความเสี่ยง 10 ข้อที่แนะนำมา ดังนี้ลองดูรายละเอียดกันนะครับ น่าจะมีประโยชน์
ทางทีมพัฒนา Go ได้ปล่อย Go Vulnerability Management ออกมาเมื่อปลายปี 2022ซึ่งมีเป้าหมายเพื่อตรวจสอบความปลอดภัยของ codeที่เขียนด้วยภาษา Go รวมทั้ง 3-party library ต่าง ๆว่าอาจจะเสี่ยงหรือมีช่องโหว่ในการโจมตีหรือไม่โดยได้ปล่อย CLI tool ทซึ่งเป็น opensource มาให้ใช้งานชื่อว่า vulncheck
เพิ่งเห็นว่าทาง OWASP นั้นได้ทำ project ด้าน security ของ CI/CD ออกมานอกจากจะมี Web, API, Mobile และ Docker Securityเนื่องจาก CI/CD ได้รับความนิยม หรือ เรียกได้ว่าเป็นสิ่งที่ต้องทำเป็นปกติทั้ง environmentทั้ง process การทำงานทั้งระบบงาน และ pipeline การทำงานเพื่อให้สามารถส่งมอบระบบงานได้อย่างรวดเร็ว และ มีคุณภาพ
มาทำความรู้จักและลองใช้งาน GitHub CodeQL กันซึ่งสร้างขึ้นมาเพื่อทำการ scan sourcecode ต่าง ๆเพื่อตรวจสอบหาจุดบกพร่องของ code ในมุมมองของ bug และ securityหรือเป็น Static Application Security Testing (SAST)ซึ่งสามารถเขียน query เพื่อหารูปแบบที่ต้องการได้
ใน blog ของ Docker เรื่อง 10 tips for keeping your Docker containers safe from Log4Shellได้สรุป 10 ข้อ สำหรับการป้องกันปัญหา Log4Shellที่อาจจะเกิดขึ้นได้ใน Docker containerโดยมี Cheat Sheet :: Docker + Snyk log4shell remediation ออกมาให้จึงทำการสรุปสั้น ๆ ไว้หน่อย
หลาย ๆ คนน่าจะกำลังเผชิญอยู่กับปัญหาที่เรียกว่า Spring4Shellหรือจาก CVE-2022-22965 : Spring Framework RCE via Data Binding on JDK 9+โดยทางทีมพัฒนาของ Spring ได้เขียนสรุปปัญหาและการแก้ไขปัญหาต่าง ๆไว้ในบทความนี้ Spring Framework RCE, Early Announcement