กูเกิลบริจาคเงิน Python เพิ่มความปลอดภัย PyPI ป้องกันปัญหา Supply-Chain Attack

กูเกิลเป็นผู้สนับสนุนมูลนิธิ Python Software Foundation (PSF) มานาน 11 ปี (ล่าสุดเพิ่งอัพเกรดเป็นสปอนเซอร์รายใหญ่ที่สุด ที่เรียกระดับ Visionary Sponsors) ล่าสุดกูเกิลประกาศสนับสนุนเงินเพิ่มอีก 350,000 ดอลลาร์เป็นพิเศษสำหรับเรื่อง supply-chain security ที่กำลังเป็นประเด็นหลังกรณีแฮ็ก SolarWinds

เงินก้อนนี้จะถูกนำไปใช้

  • ตรวจจับมัลแวร์ใน PyPI (Python Package Index) ระบบข้อมูลแพ็กเกจในโลก Python
  • ปรับปรุงเครื่องมือและบริการพื้นฐานของ Python
  • จ้างนักพัฒนาฟูลไทม์ 1 คนเข้ามาช่วยพัฒนา CPython (Python เวอร์ชันหลักที่คนส่วนใหญ่ใช้กัน)

No Description

ประเด็นปัญหา supply-chain attack ถูกมองว่าสำคัญขึ้นเรื่อยๆ เพราะแฮ็กเกอร์หันมาเจาะที่ไลบรารีพื้นฐานที่คนใช้กันเยอะ แต่คนดูแลน้อย กลายเป็นช่องโหว่ความปลอดภัยที่ป้องกันยาก ก่อนหน้านี้เพิ่งมีข่าวนักวิจัยความปลอดภัยลองสร้างไลบรารีปลอม แล้วพบว่ามีบริษัทใหญ่ๆ ดาวน์โหลดไปใช้เป็นจำนวนมาก แสดงให้เห็นช่องโหว่สำคัญของ supply-chain attack ที่ไม่มีใครมีหน้าที่ตรวจสอบตรงนี้มากนัก

นอกจากประเด็นความปลอดภัยแล้ว กูเกิลยังบริจาคเครื่องในระบบ Google Cloud ให้มูลนิธิ PSF ใช้งานฟรี และรับอาสาโฮสต์สถิติของแพ็กเกจ PyPI บน Google Cloud Public Database ด้วย

ที่มา – Google

Topics: 
Python
Google
Security