អ្នកស្រាវជ្រាវសន្តិសុខនៅ Apiiro បានបង្ហាញពី Tool ចំនួន២ ដែលជា Tool Open-source ត្រូវបានបង្កើតឡើងសម្រាប់តាមចាប់ និងបិទកូដព្យាបាទ មុនពេលពួកវាត្រូវបានបន្ថែមទៅក្នុងគម្រោងកម្មវិធី (Software Projects) ដើម្បីទប់ស្កាត់ការវាយប្រហារខ្សែច្រវាក់ផ្គត់ផ្គង់។
Tools ទាំង២ មានច្បាប់ទូលំទូលាយសម្រាប់ Semgrep និង Opengrep ត្រូវបានបង្កើតឡើងសម្រាប់តាមចាប់គម្រូកូដព្យាបាទជាមួយនឹងភាពមិនត្រឹមត្រូវតិចតូច និង PRevent ជាអ្នកស្គេនដែលត្រូវបានដាក់បញ្ចូល GitHub សម្រាប់តាមចាប់ និងដាស់តឿនពីកូដព្យាបាទនៅក្នុង Pull Requests (PRs)។ យោងតាមអ្នកស្រាវជ្រាវសុវត្ថិភាពនៅ Apiiro លោក Matan Giladi បានឱ្យដឹងថា Tools ទាំងនេះមានកម្រិតលម្អៀងតិចតូច ដែលធ្វើឱ្យពួកវាល្អប្រើនៅក្នុងការអនុវត្តពិត។
ជាពិសេស សុក្រឹតភាពការរកឃើញនៃបណ្តុំច្បាប់សម្រាប់ PyPI Packages មានដល់ ៩៤,៣% និងមានភាពសុក្រឹតដល់ទៅ ៨៨,៤% សម្រាប់ npm Packages។ PRevent ទទួលបានជោគជ័យលើ PRs ព្យាបាទក្នុងទំហំ ៩១,៥% នៃករណីត្រូវបានកំណត់។
ការចាប់យកកូដព្យាបាទ៖ យុទ្ធសាស្រ្តតាមចាប់កូដព្យាបាទរបស់ Apiiro គឺផ្អែកលើការកំណត់ “គម្រូប្រឆាំងកូដ (Code Anti-Patterns)” ដែលជាគម្រូសង្ស័យនៅក្នុងកូដ ដែលបង្ហាញឥរិយាបថថាកម្រនៅក្នុងកូដស្របច្បាប់ ប៉ុន្តែទូទៅនៅក្នុងកូដមេរោគ។ ប្រព័ន្ធតាមចាប់ប្រើការវិភាគ Static ដែលមានន័យថា វាកំណត់កូដដោយមិនដំណើរការកូដទេ ដើម្បីរក្សាសុវត្ថិភាពពីការចម្លងមេរោគដោយចៃដន្យ។ គម្រូប្រឆាំងទាំងនេះរួមមាន៖
១. វិធីសាស្រ្តដូចជា ការ Encoding ការបំលែងដែលមានមូលដ្ឋាន និងការកែប្រែពេលដំណើរការដែលជួយលាក់មុខងារនិងបំណងរបស់កូដ។
២. ការប្រើប្រាស់ exec(), eval() ឬមុខងារស្រដៀងគ្នា ដែលអនុញ្ញាតឱ្យមានដំណើរការកូដតាមចិត្តនៅពេលដំណើរការ
៣. កូដដែលដោនឡូត និងដំណើរការ Payload ពីចម្ងាយពីខាងក្រៅ ដែលជាម៉ាស៊ីននមេមិនស្គាល់
៤. វិធីសាស្រ្តសម្រាប់ទាញយកទិន្នន័យសម្ងាត់អ្នកប្រើប្រាស់ផ្ញើទៅកាន់ទីតាំងខាងក្រៅ
បណ្តុំច្បាប់នេះអាចត្រូវបានរួមបញ្ចូលទៅក្នុង CI/CD pipelines សម្រាប់ការស្គេន Repository ដោយស្វ័យប្រវត្តិ ប្រើសម្រាប់ការស្គេន npm and PyPI packages ឬសម្របទៅតាមផ្លេតហ្វមដទៃដែលប្រើ Semgrep or Opengrep។ PRevent ដែលប្រើគម្រូប្រឆាំងដូចគ្នា ត្រូវបានបង្កើតឡើងសម្រាប់ស្គេនព្រឹត្តិការណ៍ស្នើសុំនៅពេលដំណើរការ មុនពេលកូដត្រូវបានបញ្ចូលគ្នា បញ្ឈប់ការគំរាមកំហែងនានាមុនការព្យាបាទដំណើរការ។
វាអាចត្រូវបានរារាំងការរួមបញ្ចូលគ្នារហូតទាល់តែអ្នកត្រួតពិនិត្យដែលមានសិទ្ធិយល់ព្រមទទួលវា ឬបន្ថែម Comments លើបញ្ហាដែលបានរកឃើញ ដើម្បីធានាដល់អ្នកអភិវឌ្ឍថាត្រូវបានរំលឹកពីហានិភ័យ។ Apiiro ដឹងថា Tools ទាំងនេះនៅមានកម្រិតនៅឡើយ ខណៈពួកវាមិនអាចតាមចាប់មេរោគដែលបានលាក់នៅក្នុង Compiled Binaries ឬ Scan npm និង PyPI packages ដោយផ្ទាល់បានទេ ប៉ុន្តែគម្រោងបន្ថែមមុខងារដូចជា ការវិភាគ Deep Code និងស្គេន AI-Assisted នឹងបញ្ចូលនាពេលខាងមុខ។ អ្នកប្រើប្រាស់អាចស្វែងរក ទាំងបណ្តុំច្បាប់តាមចាប់កូដព្យាបាទ ជាមួយនឹង Prevent Tool បានដោយមិនគិតថ្លៃនៅលើ GitHub បូករួមទាំងការណែនាំពីរបៀបនៃប្រើប្រាស់ផងដែរ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២០ ខែកុម្ភៈ ឆ្នាំ២០២៥
