GitHub Advisory báo CVE đỏ lòm, nhưng dev bảo ‘em có thấy lỗi gì đâu anh’…
Audit thấy project dùng thư viện bỏ hoang từ 2019, dính CVE nghiêm trọng (XSS, RCE), nhưng team vẫn vô tư vì “chạy ổn mà”. Hóa ra, không ai scan dependency, và lib thì “chết” từ lâu.
 |
| Khi dev dùng lib không ai maintain! |
Thực trạng: Dependency “zombie”
Thực trạng:
- Project dùng thư viện cũ (như [email protected], không update từ 2019).
- Không scan bảo mật, không biết CVE từ GitHub Advisory hay Snyk.
- Dev không check xem lib còn được maintain hay không.
Hệ quả:
- Rủi ro bảo mật: Lỗ hổng XSS, RCE khiến hacker dễ tấn công.
- Khó update: Lib cũ không tương thích với phiên bản mới, refactor tốn công.
- Team mù mờ: Không biết project dính bao nhiêu CVE.
Giải pháp: Scan và audit định kỳ
Để tránh “zombie” dependency:
- Scan tự động: Tích hợp npm audit, Snyk, hoặc OWASP Dependency-Check vào CI/CD.
- Check maintainability: Xem GitHub repo của lib, kiểm tra last commit, issues.
- Isolate SDK nhạy cảm: Chạy SDK bên thứ ba trong container riêng.
Ví dụ: Chạy npm audit trong CI:
jobs: audit: runs-on: ubuntu-latest steps: - uses: actions/checkout@v3 - run: npm ci - run: npm audit --audit-level=high🎯 Tóm lại: Dùng lib “zombie” là “mời hacker đến chơi”. Scan CVE, audit định kỳ, và isolate SDK để bảo vệ codebase khỏi thảm họa.
Đăng nhận xét