กองทุน Secure Open Source (SOS) ของ Mozilla ที่เพิ่งประกาศเปิดตัว มีผลงานแรกๆ สู่สาธารณะคือการตรวจโค้ดของโครงการ phpMyAdmin ตอนนี้ก็ถึงเวลาเปิดเผยรายงานจากกองทุนนี้

ผู้รับผิดชอบตรวจสอบโค้ด phpMyAdmin คือ NCC Group ตรวจสอบพบช่องโหว่ทั้งหมด 8 ช่อง เป็นช่องโหว่ระดับปานปลาง 3 จุด และช่องโหว่ระดับต่ำ 5 จุด มีช่องโหว่ด้านข้อมูลอีก 1 จุด เกือบทั้งหมดแก้ไขแล้วมีรุ่น 4.6.2

นอกจากช่องโหว่ที่พบแล้ว NCC Group ยังแนะนำเพิ่มเติม ว่า phpMyAdmin ควรรองรับ CSP header, ปรับการทำงานทั้งหมดที่กระทบต่อข้อมูลให้เป็น HTTP POST, แนะนำผู้ใช้ถึงการติดตั้งที่ปลอดภัย, แนะนำให้ผู้ใช้เปิด HTTPS เสมอ, และเพิ่มระบบเตือนเมื่อซอฟต์แวร์ตกรุ่น

รายงานแบบนี้ตามบริษัทจ้างตรวจกันแพง ใครทำงานซอฟต์แวร์มีโอกาสก็ควรเอามาอ่านเล่นกันครับ

ที่มา - phpMyAdmin