ประเด็นเรื่องความปลอดภัยของแพ็กเกจซอฟต์แวร์โอเพนซอร์ส ที่ถูกใช้เป็น dependency ในโครงการต่างๆ กลายเป็นจุดสนใจมากขึ้นเรื่อยๆ (ข่าวเก่าของ npm และ PyPI)

ล่าสุด GitLab ออกเครื่องมือตัวใหม่ชื่อ Package Hunter ช่วยสแกนหาช่องโหว่ความปลอดภัยของแพ็กเกจที่ใช้งานในโปรเจค

วิธีทำงานของ Package Hunter คือลองติดตั้งแพ็กเกจที่เราเรียกใช้จริงๆ ในสภาพแวดล้อม sandbox แล้วเฝ้าระวังดูว่ามีการเรียก system call อะไรบ้าง (การสแกนระบบใช้ Falco) ตอนนี้ยังรองรับเฉพาะแพ็กเกจของ Node.js และ Ruby Gems

การใช้งานผ่านระบบของ GitLab ต้องสร้างสร้างเทมเพลต CI แล้วเพิ่มงาน Package Hunter job ในโปรเจคต์ เพื่อเซ็ตเซิร์ฟเวอร์ Package Hunter ในการรันซอฟต์แวร์

GitLab ระบุว่าลองใช้งาน Package Hunter เป็นการภายในมาตั้งแต่เดือนพฤศจิกายน 2020 เมื่อพร้อมแล้วก็เปิดให้คนภายนอกใช้งานด้วย ตัวโครงการเปิดเป็นโอเพนซอร์ส

ที่มา - GitLab