ประเด็นเรื่องความปลอดภัยของแพ็กเกจซอฟต์แวร์โอเพนซอร์ส ที่ถูกใช้เป็น dependency ในโครงการต่างๆ กลายเป็นจุดสนใจมากขึ้นเรื่อยๆ (ข่าวเก่าของ npm และ PyPI )

ล่าสุด GitLab ออกเครื่องมือตัวใหม่ชื่อ Package Hunter ช่วยสแกนหาช่องโหว่ความปลอดภัยของแพ็กเกจที่ใช้งานในโปรเจค

วิธีทำงานของ Package Hunter คือลองติดตั้งแพ็กเกจที่เราเรียกใช้จริงๆ ในสภาพแวดล้อม sandbox แล้วเฝ้าระวังดูว่ามีการเรียก system call อะไรบ้าง (การสแกนระบบใช้ Falco ) ตอนนี้ยังรองรับเฉพาะแพ็กเกจของ Node.js และ Ruby Gems

การใช้งานผ่านระบบของ GitLab ต้องสร้างสร้างเทมเพลต CI แล้วเพิ่มงาน Package Hunter job ในโปรเจคต์ เพื่อเซ็ตเซิร์ฟเวอร์ Package Hunter ในการรันซอฟต์แวร์

GitLab ระบุว่าลองใช้งาน Package Hunter เป็นการภายในมาตั้งแต่เดือนพฤศจิกายน 2020 เมื่อพร้อมแล้วก็เปิดให้คนภายนอกใช้งานด้วย ตัวโครงการ เปิดเป็นโอเพนซอร์ส

ที่มา - GitLab