หน่วยงานโอเพนซอร์สร่วมวางสเปกการพัฒนาซอฟต์แวร์ให้ปลอดภัย แก้ปัญหาแบบ xz

Loading

ปัญหาเรื่องความปลอดภัยของซอฟต์แวร์โอเพนซอร์สมีความรุนแรงขึ้นเรื่อย ๆ ล่าสุดกลุ่มมูลนิธิผู้พัฒนาซอฟต์แวร์โอเพนซอร์สหลายราย ประกาศจับมือกันเพื่อวาง “กระบวนการพัฒนาซอฟต์แวร์ที่ปลอดภัย” แล้ว

รู้จัก N-Day ไวรัสแฝงบน Chrome ที่ Google แก้เผ็ดด้วยการอัปเดตทุกสัปดาห์

Loading

  จำนวนผู้ใช้งาน Chrome ที่มีกว่า 3,000 ล้านคนทั่วโลก กลายเป็นเรื่องสำคัญ Google จำเป็นต้องเพิ่มความปลอดภัย ล่าสุด Google เรียกความมั่นใจจากผู้ใช้งานว่า Chrome ปลอดภัยจากช่องโหว่ Zero-day และ n-day แล้ว   การใช้ประโยชน์จาก N-day คืออะไร   Amy Ressler ทีมรักษาความปลอดภัยของ Chrome เล่าว่า ช่องโหว่ N-day คือการใช้ประโยชน์จากช่องโหว่ของโปรแกรมระหว่างที่กำลังแก้ไขปัญหา ผ่านทางโครงการที่ชื่อ Chromium ซึ่งเป็นโอเพ่นซอร์สที่เปิดให้ทุกคนแอบดูซอร์สโค้ดเพื่อนำไปใช้ในการร่วมกันปรับปรุงและแก้ไขไวรัส   แต่มีคนดีก็ต้องมีคนร้าย ซึ่งคนร้ายแอบนำซอร์สโค้ดเหล่านี้ไปใช้แทรกซึมและแก้ไขช่องโหว่ด้านความปลอดภัย ในช่วงที่นักพัฒนาซอฟต์แวร์กำลังแก้ไขปัญหาและผู้ใช้งานรุ่นเบต้า จะฟีดแบ็กปัญหาต่าง ๆ กลับมา เมื่อได้รับการแก้ไข ก็ค่อยปล่อยออกสู่สาธารณะ   ซึ่งระหว่างนี้ อาชญากรไซเบอร์และผู้คุกคาม จะเอารุ่นเบต้าไปแอบปล่อยด้วยข้อความดึงดูดและหลอกลวงเพื่อหาผลจากช่องโหว่นั่นเอง   เมื่อมีการเปิดแพตช์ หรือตัวปรับปรุงแก้ไขสู่สาธารณะ ก็กลายเป็นช่องโหว่ให้กับผู้ใช้งานที่ไม่ได้ติดตั้งแพตช์ แฮ็กเกอร์ก็สามารถหาประโยชน์จากแพตช์ที่มีปัญหาเหล่านี้ได้อีก   นั่นจึงกลายเป็นที่มาของคำว่า “การแสวงหาผลประโยชน์แบบ…

10 อันดับความเสี่ยงการใช้งานโอเพ่นซอร์ส

Loading

    Endor Labs ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้จัดทำอันดับความเสี่ยง 10 รายการในด้านการใช้งานโอเพ่นซอร์ส (ไอเดียรูปแบบคล้ายกับ OWASP Top 10)   ทีมวิจัย Station 9 ของ Endor Labs ได้เผย 10 อันดับความเสี่ยงไว้ดังนี้   1.) Know Vulnerabilities – เป็นความเสี่ยงที่โค้ดอาจมีช่องโหว่อยู่แล้วจากนักพัฒนาเอง และอาจมีบันทึกใน CVE หรือการใช้โจมตี ทั้งนี้ยังไม่การันตีการอัปเดตแพตช์ด้วย   2.) Compromise – แพ็กเกจอาจถูกแทรกแซงโดยคนร้ายอาจจะแฝงโค้ดอันตรายไว้ภายใน   3.) Name confusion – คนร้ายสร้างชื่อให้คล้าย ๆ กันกับของจริง ทำให้คนสับสนแล้วนำไปใช้   4.) Unmaintained Software – โปรเจ็คที่ถูกทิ้งร้างเอาไว้ ไม่มีการพัฒนาหรือความเคลื่อนไหวต่อ ดังนั้นก็อาจจะไม่มีแพตช์ตามมา   5.)…

EU ทดลองสร้างโซเชียลของตัวเอง EU Voice และ EU Video ใช้ซอฟต์แวร์โอเพนซอร์ส Mastodon

Loading

  ท่ามกลางประเด็นถกเถียงต่างๆ หลัง Twitter ตอบรับข้อเสนอซื้อของ Elon Musk ฝั่งของสหภาพยุโรปก็เริ่มทดลองเปิดบริการโซเชียลของตัวเอง ได้แก่ EU Voice (โซเชียลแบบ Twitter) และ EU Video (บริการวิดีโอแบบ YouTube)   บริการทั้งสองตัวเป็นการทดลองสร้างโซเชียลมีเดียทางเลือก (an alternative social media pilot program) โดยหน่วยงานด้านคุ้มครองข้อมูลของยุโรป European Data Protection Supervisor (EDPS) เป้าหมายหลักคือสร้างบริการโซเชียลที่คุ้มครองข้อมูลส่วนตัวของผู้ใช้งาน ไม่หารายได้จากโฆษณา และสร้างจากซอฟต์แวร์โอเพนซอร์สที่โปร่งใส   บริการ EU Voice ใช้ซอฟต์แวร์ Mastodon ที่นิยมอยู่แล้ว (ทีม Donald Trump นำไปใช้สร้าง Truth Social) ส่วน EU Video ใช้ PeerTube ซอฟต์แวร์ที่สร้างขึ้นเพื่อโฮสต์วิดีโอแบบ YouTube…