Tags:
Node Thumbnail

GitHub ออกตัวช่วยสแกนช่องโหว่ Log4j ในโปรเจคต์ซอฟต์แวร์

ผู้ใช้งานสามารถเปิดใช้ Dependabot ซึ่งเป็นบ็อตช่วยตรวจหาเวอร์ชันของแพ็กเกจซอฟต์แวร์ที่ใช้งาน (เอกสารวิธีเปิดใช้) หากมีแพ็กเกจ Log4j เวอร์ชันที่มีช่องโหว่ ก็จะได้รับคำเตือนให้อัพเกรดเป็นเวอร์ชันที่อุดแพตช์แล้ว

GitHub ระบุว่าส่งคำเตือนเรื่อง Log4j ไปแล้วว่า 175,000 ครั้ง อย่างไรก็ตาม Dependabot ใช้ได้เฉพาะโค้ด Java ที่จัดการด้วย Maven เท่านั้น ยังไม่สามารถใช้กับ Gradle ได้ในตอนนี้

นอกจาก Dependabot ที่ใช้ตรวจสอบ dependency แล้ว GitHub ยังมีเครื่องมืออีกตัวคือ CodeQL query (ใช้ได้ฟรีกับ repository สาธารณะ หรือลูกค้าจ่ายเงินที่ซื้อ GitHub Advanced Security) เพื่อตรวจหาบรรทัดในซอร์สโค้ดที่มีความเสี่ยงจากการเรียกใช้ Log4j ให้ด้วย

No Description

ที่มา - GitHub

Get latest news from Blognone