Snapscope: เครื่องมือสำคัญสำหรับการตรวจสอบความปลอดภัยของ Snap ของคุณ

  • Snapscope วิเคราะห์แพ็กเกจ Snap ด้วย Grype เพื่อตรวจหา CVE และช่องโหว่ที่จัดระดับตามความรุนแรง
  • ข้อผิดพลาดส่วนใหญ่ที่ตรวจพบนั้นเกิดจากไลบรารีที่รวมอยู่ใน Snap ไม่ใช่จากรูปแบบไฟล์ Snap เอง
  • เครื่องมือนี้ช่วยเพิ่มความโปร่งใส นำเสนอการจัดอันดับและการสแกนซ้ำ และทำหน้าที่เป็นแหล่งข้อมูลป้อนกลับสำหรับผู้ดูแลระบบและผู้บริหาร
  • Snapscope ไม่ได้พิสูจน์ว่า Snap ไม่ปลอดภัย แต่เป็นการตอกย้ำความสำคัญของการตรวจสอบได้และการบำรุงรักษาอย่างต่อเนื่อง
Pablinux

นาทีที่ 13

สแนปสโคป

Snapscope กลายเป็นหนึ่งในเครื่องมือที่ได้รับความสนใจมากที่สุด ภายในระบบนิเวศของ Snap และด้วยเหตุผลที่ดี: มันทำให้ความปลอดภัยของแพ็กเกจที่เราติดตั้งทุกวันจาก Snap Store ถูกตรวจสอบอย่างละเอียดถี่ถ้วน ในบริบทที่เรามักจะเชื่อใจโดยอัตโนมัติว่าทุกอย่างจากร้านซอฟต์แวร์นั้นปลอดภัย การมีเครื่องมือสแกนอิสระที่เปิดเผยช่องโหว่ที่แท้จริงสามารถเปลี่ยนมุมมองของผู้ใช้จำนวนมากได้

นี่ไม่ใช่โครงการของบริษัทแต่อย่างใด Snapscope เกิดขึ้นจากความคิดริเริ่มส่วนตัวของอลัน โป๊ปบุคคลที่มีชื่อเสียงในชุมชน Ubuntu ซึ่งทำงานที่ Canonical มาหลายปี ข้อเสนอของเขานั้นเรียบง่ายแต่ทรงพลัง: คุณเพียงแค่พิมพ์ชื่อแพ็กเกจ Snap หรือชื่อผู้พัฒนา แล้วคุณจะได้รับรายงานความปลอดภัยโดยละเอียดที่อิงจากช่องโหว่ที่รู้จัก ทั้งหมดนี้ด้วยแนวทางที่ชัดเจนมาก: “ไม่มีการตัดสิน มีแต่ข้อเท็จจริง”

บริบท: Snap, ความปลอดภัย และความจำเป็นในการสร้างความโปร่งใส

เมื่อเราพูดถึงเรื่องความปลอดภัยใน GNU/Linux ผู้ใช้หลายคนเข้าใจผิดว่าการติดตั้งจากแหล่งเก็บซอฟต์แวร์หรือร้านค้าอย่างเป็นทางการนั้นเป็นวิธีที่ถูกต้อง หลายคนมองว่า Snap Store คือสิ่งที่ให้ความปลอดภัยอย่างสมบูรณ์แบบ อย่างไรก็ตาม ประสบการณ์ในช่วงไม่กี่ปีที่ผ่านมาทำให้เห็นชัดเจนว่าความปลอดภัยที่สมบูรณ์แบบนั้นไม่มีอยู่จริง ทั้งใน Snap หรือรูปแบบอื่นๆ Canonical พยายามป้องกันปัญหา แต่แพ็กเกจที่ล้าสมัย บำรุงรักษาไม่ดี หรือมีส่วนประกอบที่เสี่ยงต่อการถูกโจมตี ก็อาจหลุดรอดไปได้เสมอ

ในกรณีของ Snaps มีรายละเอียดปลีกย่อยที่สำคัญอย่างหนึ่ง: ไม่ใช่แค่ทีมงานโครงการอย่างเป็นทางการเท่านั้นที่สามารถเผยแพร่แพ็กเกจได้นักพัฒนาหรือบริษัทใดก็ตามที่ตรงตามข้อกำหนดขั้นต่ำสามารถอัปโหลดแอปพลิเคชันของตนไปยัง Snap Store ได้ นี่เป็นการเปิดโอกาสให้กับซอฟต์แวร์หลากหลายประเภท—ซึ่งปัจจุบันก็มีซอฟต์แวร์มากมายอยู่แล้ว—แต่ก็หมายความว่าความไว้วางใจที่เรามีต่อซอฟต์แวร์เหล่านี้จะต้องมาพร้อมกับกลไกการตรวจสอบด้วย

อูบุนตูที่ไม่เปลี่ยนรูป
บทความที่เกี่ยวข้อง:
อูบุนตูที่ไม่เปลี่ยนรูปขึ้นอยู่กับสแนป การทดลองครั้งต่อไปของ Canonical

และนั่นคือจุดที่ Snapscope เข้ามามีบทบาท คำถามสำคัญที่เครื่องมือนี้พยายามตอบนั้นง่ายมากภายในแพ็กเกจ Snap แต่ละแพ็กเกจมีอะไรบ้าง และสถานะความปลอดภัยที่แท้จริงของมันเป็นอย่างไร แทนที่จะเชื่อถือโดยไม่ตรวจสอบ เราสามารถตรวจสอบการวิเคราะห์จากฐานข้อมูลช่องโหว่ที่เป็นที่ยอมรับในระดับสากลได้

Snapscope คืออะไร และใครเป็นผู้พัฒนา?

Snapscope คือ โปรแกรมประยุกต์บนเว็บ มุ่งเน้นการวิเคราะห์แพ็กเกจ Snap เพื่อค้นหา CVE และช่องโหว่ เป็นที่รู้จักกันดี มันถูกพัฒนาโดย Alan Pope (รู้จักกันในชุมชนว่า "Popey") อดีตพนักงานของ Canonical และผู้ที่อยู่ในแวดวงซอฟต์แวร์เสรีเป็นประจำ มันไม่ใช่ผลิตภัณฑ์อย่างเป็นทางการของ Ubuntu แต่เป็นโครงการส่วนตัวที่เกิดขึ้นจากแนวคิดที่จะนำความโปร่งใสมาสู่ระบบนิเวศของ Snap มากขึ้น

เว็บไซต์นี้ใช้งานง่ายมาก: คุณป้อนชื่อแพ็กเกจ Snap หรือชื่อโปรแกรมแก้ไข (องค์กรหรือผู้พัฒนา) ในเครื่องมือค้นหา และระบบจะเริ่มการสแกนโดยใช้เครื่องมือวิเคราะห์ความปลอดภัย ผลลัพธ์ที่ได้คือรายงานที่มีช่องโหว่ทั้งหมดที่ตรวจพบ โดยจำแนกตามระดับความรุนแรง พร้อมลิงก์สำหรับข้อมูลเพิ่มเติม

นอกจากนี้ Snapscope ยังมีคุณสมบัติที่น่าสนใจอีกอย่างหนึ่ง: อลันแสดงความคิดเห็นว่าเขา "สร้างบรรยากาศ" ให้กับเว็บไซต์ในบริบทของ Vibelympicsโครงการของ Chainguard ที่เปิดโอกาสให้นักพัฒนาสร้างสรรค์โปรเจกต์ที่รวดเร็วและมีจุดมุ่งหมาย โดยมีรางวัลนำไปบริจาคเพื่อการกุศล แม้ว่าจุดเริ่มต้นของโครงการจะดูสนุกสนาน แต่ประโยชน์ใช้สอยในทางปฏิบัติของโครงการนี้มีความสำคัญอย่างยิ่งสำหรับผู้ดูแลระบบ นักพัฒนา และผู้ใช้ขั้นสูง

พื้นฐานทางเทคนิค: การวิเคราะห์ด้วย Grype และ CVEs

หัวใจหลักของ Snapscope ขึ้นอยู่กับ... Grype เป็นเครื่องมือโอเพนซอร์สที่เชี่ยวชาญด้านการวิเคราะห์ช่องโหว่ ในอิมเมจคอนเทนเนอร์และระบบไฟล์ Grype จะเปรียบเทียบเนื้อหาของแพ็กเกจ (โดยเฉพาะไลบรารีและส่วนประกอบต่างๆ) กับฐานข้อมูล CVE เพื่อตรวจจับช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้น

เมื่อวิเคราะห์ Snap ช่องโหว่ที่ตรวจพบจะถูกจัดกลุ่มตามระดับความรุนแรงมีการจัดหมวดหมู่ เช่น วิกฤต สูง ปานกลาง และต่ำ รวมถึงช่องโหว่ที่ระบุไว้ในรายการ KEV (ช่องโหว่ที่ถูกใช้ประโยชน์แล้ว) ซึ่งช่วยให้สามารถประเมินได้อย่างรวดเร็วว่าความเสี่ยงนั้นเป็นเพียงทฤษฎีหรือมีช่องโหว่ที่ถูกนำมาใช้โจมตีอยู่จริง

ในทางปฏิบัติ รายงานสำหรับแต่ละแพ็กเกจแสดงให้เห็นว่า รหัสระบุช่องโหว่ (CVE-ID) ระดับความรุนแรง และลิงก์ภายนอก พร้อมข้อมูลที่ขยายเพิ่มเติม กล่าวคือ คุณจะไม่เพียงแค่เห็นว่ามีปัญหาอยู่ แต่ยังเห็นว่าปัญหานั้นเกี่ยวข้องกับอะไร เวอร์ชันใดได้รับผลกระทบ และในหลายกรณี ผู้จัดการด้านความปลอดภัยแนะนำมาตรการใดบ้างเพื่อลดผลกระทบ

สำหรับตอนนี้, Snapscope เน้นที่แพ็กเกจสำหรับสถาปัตยกรรม x86_64ซึ่งเป็นจุดที่เครื่องมือนี้มีความสมบูรณ์ที่สุด อลันได้กล่าวเป็นนัยว่าอาจมีการเพิ่มสถาปัตยกรรมอื่นๆ ในอนาคต แต่สิ่งสำคัญในปัจจุบันคือการรักษาความสามารถในการวิเคราะห์ที่น่าเชื่อถือบนแพลตฟอร์มเดสก์ท็อปและเซิร์ฟเวอร์ที่ใช้กันอย่างแพร่หลายที่สุด

คุณสมบัติการใช้งานจริงของเว็บไซต์ Snapscope

นอกเหนือจากการสแกนพัสดุเพียงครั้งเดียวแล้ว เว็บไซต์ Snapscope มีเครื่องมือหลายอย่างที่ช่วยอำนวยความสะดวกในการสำรวจและตรวจสอบ จาก Snap Store:

  • ค้นหาตามชื่อแพ็กเกจ หรือตามผู้พัฒนา/องค์กรคุณสามารถพิมพ์ชื่อ Snap (เช่น แอปพลิเคชันที่รู้จักกันดี) หรือชื่อผู้เผยแพร่โดยตรง เพื่อดูแพ็กเกจที่เกี่ยวข้องทั้งหมดที่ได้รับการวิเคราะห์แล้ว
  • รายการพัสดุที่สแกนล่าสุดหน้าแรกจะแสดงภาพ Snap ที่ได้รับการสแกนในการวิเคราะห์ล่าสุด ช่วยให้คุณเห็นว่าภาพใดได้รับการรีวิวบ่อยที่สุด
  • อันดับของโปรแกรมที่มีช่องโหว่มากที่สุดมีแผนภูมิที่เน้นแพ็กเกจที่มีการตรวจพบช่องโหว่ CVE มากที่สุด ซึ่งทำหน้าที่เป็นสัญญาณเตือนล่วงหน้าสำหรับผู้ดูแลระบบและผู้ใช้ที่ใช้ Snap เหล่านั้นในสภาพแวดล้อมการใช้งานจริง
  • ลิงก์ไปยังข้อมูลโดยละเอียดสำหรับ CVE แต่ละรายการแต่ละรายการจะช่วยให้เข้าถึงแหล่งข้อมูลภายนอกเพื่อทำความเข้าใจบริบทของความล้มเหลว ผลกระทบ และว่ามีวิธีแก้ไขหรือมาตรการบรรเทาผลกระทบหรือไม่
  • ความสามารถในการจัดคิวแพ็กเกจเพื่อสแกนซ้ำหากใครต้องการรับการวิเคราะห์ที่อัปเดตแล้ว พวกเขาสามารถบังคับให้ทำการสแกน Snap เฉพาะเจาะจงอีกครั้ง ซึ่งมีประโยชน์เมื่อฐานข้อมูลช่องโหว่ได้รับการอัปเดตเมื่อเร็ว ๆ นี้

ทั้งหมดนี้ถูกนำเสนอในรูปแบบ อินเทอร์เฟซที่ค่อนข้างชัดเจนและไม่รกตาไม่ต้องลงทะเบียนหรือตั้งค่าที่ซับซ้อนใดๆ ใครก็ตามที่มีเบราว์เซอร์สามารถเข้าไปที่เว็บไซต์ ค้นหา Snap และดู "สถานะความปลอดภัย" ได้ทันที

เหตุใดช่องโหว่ส่วนใหญ่จึงไม่ใช่ความผิดของรูปแบบ Snap

หนึ่งในประเด็นสำคัญที่ Snapscope เน้นย้ำคือ ช่องโหว่ส่วนใหญ่ที่ตรวจพบนั้นเกี่ยวข้องกับไลบรารีที่รวมอยู่ในแพ็กเกจไม่ใช่กับรูปแบบ Snap เอง เนื่องจากแอปพลิเคชันแบบครบวงในตัวเอง Snap จึงมักใช้เวอร์ชันเฉพาะของส่วนประกอบที่จำเป็น แทนที่จะใช้เวอร์ชันของระบบ

การออกแบบนี้มีข้อดีที่เห็นได้ชัด: มันช่วยให้แอปพลิเคชันสมัยใหม่สามารถทำงานบนระบบปฏิบัติการรุ่นเก่าได้หรือแอปพลิเคชันรุ่นเก่าสามารถทำงานบนระบบรุ่นใหม่ได้แม้จะมีการเปลี่ยนแปลงที่สำคัญในไลบรารีหลัก นอกจากนี้ยังช่วยให้ผู้ดูแล Snap มีการควบคุมสภาพแวดล้อมที่แอปพลิเคชันทำงานได้มากขึ้น

อย่างไรก็ตาม มันก็มีด้านที่ไม่เป็นมิตรอยู่ด้วยเช่นกัน: หากไลบรารีที่ฝังอยู่ใน Snap มีช่องโหว่ด้านความปลอดภัยมีเพียงผู้ดูแลแพ็กเกจเท่านั้นที่สามารถอัปเดตและสร้าง Snap ขึ้นใหม่ได้ การอัปเดตระบบปฏิบัติการหรือไลบรารีของระบบอย่างเดียวไม่เพียงพอ เนื่องจากสำเนาที่มีช่องโหว่นั้นฝังอยู่ภายในแพ็กเกจ

ในคำอื่น ๆ ปัญหาดังกล่าวไม่ได้เกิดขึ้นเฉพาะกับ Snap เท่านั้นไลบรารีเวอร์ชันที่มีช่องโหว่เดียวกันนั้น จะเป็นอันตรายหากรวมอยู่ในแพ็กเกจ DEB, AppImage, Flatpak หรือรูปแบบอื่นๆ โดยไม่เปลี่ยนแปลง ความแตกต่างก็คือ ใน Snap การแยกวงจรการอัปเดตของระบบและวงจรการอัปเดตของแพ็กเกจเองนั้น จะเห็นได้ชัดเจนยิ่งขึ้น

Canonical พยายามบรรเทาสถานการณ์นี้ผ่านสิ่งที่เรียกว่า “สแนปฐาน” ซึ่งเป็นกลุ่มที่มีส่วนประกอบสำคัญร่วมกัน มีการใช้แพ็กเกจจำนวนมากเพื่อลดความซ้ำซ้อนและอำนวยความสะดวกในการบำรุงรักษาไลบรารีที่สำคัญ อย่างไรก็ตาม วิธีนี้ไม่ได้ขจัดความเสี่ยงออกไปทั้งหมด เนื่องจากยังคงมีส่วนที่แต่ละแพ็กเกจต้องพึ่งพาอยู่

ความปลอดภัย การจำลองสภาพแวดล้อม และการรับรู้ความเสี่ยง

การตรวจสอบรายงานของ Snapscope อาจทำให้เกิดความเข้าใจผิดว่า ตัวล็อกเหล่านั้นเต็มไปด้วยช่องโหว่ด้านความปลอดภัยอย่างไรก็ตาม สิ่งสำคัญคือต้องพิจารณาตัวเลขเหล่านี้ในบริบทที่เหมาะสม ประการแรก ช่องโหว่ที่ระบุไว้จำนวนมากจะจำกัดอยู่เฉพาะในไลบรารี ซึ่งแม้จะมีช่องโหว่ แต่ก็ถูกนำไปใช้ในสถานการณ์เฉพาะเจาะจง หรือมีมาตรการแก้ไขอยู่แล้ว

นอกจากนี้ รูปแบบการรักษาความปลอดภัยของ Snap ยังรวมถึง กลไกการจำกัดและการแบ่งพื้นที่ที่ค่อนข้างเข้มงวดนี่หมายความว่า แม้ว่าจะมีช่องโหว่ถูกใช้ประโยชน์ภายใน Snap ผลกระทบโดยทั่วไปก็จะถูกจำกัดอยู่ภายในสภาพแวดล้อมที่แยกต่างหากของแพ็กเกจนั้น ตราบใดที่ผู้ใช้ไม่ได้ผ่อนคลายสิทธิ์การเข้าถึงด้วยตนเอง

นั่นไม่ได้หมายความว่าทุกอย่างจะได้รับการแก้ไขอย่างมหัศจรรย์ แต่... ใช่แล้ว มันช่วยลดผลกระทบที่อาจเกิดขึ้นจากช่องโหว่ต่างๆ ได้สิ่งที่น่ากังวลจริงๆ ไม่ได้อยู่ที่รูปแบบไฟล์มากนัก แต่เป็นเรื่องการบำรุงรักษามากกว่า เช่น แพ็กเกจที่ไม่ได้อัปเดตมานานหลายปี ไลบรารีที่ล้าสมัย หรือ Snap ที่อัปโหลดเพื่อทดสอบแล้วไม่เคยได้รับการตรวจสอบอีกเลย

อันที่จริงก็ประมาณว่า สินค้าจำนวนมากใน Snap Store ไม่ได้ถูกแตะต้องมานานหลายปีแล้วข้อความจำนวนมากเป็นเพียงข้อความ "สวัสดีโลก" ง่ายๆ หรือเป็นการทดลองของนักพัฒนาเพื่อทดสอบรูปแบบ ซึ่งถูกปล่อยทิ้งไว้ให้ทุกคนเข้าถึงได้ Snapscope ช่วยเน้นย้ำสถานการณ์เหล่านี้ และกระตุ้นให้ผู้ดูแลระบบตรวจสอบและแก้ไขข้อความเหล่านั้นให้เรียบร้อย

ความโปร่งใสและการตรวจสอบได้: คุณค่าที่แท้จริงของ Snapscope

หนึ่งในข้อความที่ Alan Pope ย้ำอยู่เสมอเมื่อพูดถึง Snapscope ก็คือ เครื่องมือนี้ไม่ได้มีจุดประสงค์เพื่อแสดงให้เห็นว่า Snap มีความปลอดภัยน้อยกว่ารูปแบบอื่นๆสิ่งนี้เน้นให้เห็นถึงความสำคัญของการตรวจสอบได้: คือความสามารถในการตรวจสอบสิ่งที่อยู่ในแพ็กเกจและทราบว่าแพ็กเกจนั้นมีช่องโหว่อะไรบ้าง

การที่มีเครื่องมืออย่าง Snapscope นั้นเป็นเรื่องที่น่าทึ่งมาก สิ่งนี้เป็นไปได้ก็เพราะการทำงานของ Snaps นั้นค่อนข้างโปร่งใสเนื้อหาสามารถวิเคราะห์ได้ด้วยเครื่องมือรักษาความปลอดภัยมาตรฐาน เปรียบเทียบกับฐานข้อมูล CVE สาธารณะ และนำเสนอในรูปแบบที่อ่านง่ายสำหรับนักพัฒนาและผู้ใช้ขั้นสูง

ในแง่นี้ Snapscope จึงทำหน้าที่ดังนี้ ช่องทางรับฟังความคิดเห็นแบบเงียบๆ สำหรับผู้ดูแลระบบแม้ว่าเว็บไซต์จะไม่ได้ "ตัดสิน" อย่างชัดเจน แต่การเห็นแพ็กเกจของคุณอยู่ในรายชื่อแพ็กเกจที่มีช่องโหว่มากที่สุด หรือการตรวจสอบว่า Snap ของคุณไม่ได้ถูกสแกนมานานหลายปีแล้ว อาจเป็นแรงผลักดันที่คุณต้องการเพื่ออัปเดตมัน

แนวคิดนี้เชื่อมโยงกับข้อคิดที่เกิดขึ้นซ้ำๆ อีกประการหนึ่งในชุมชน: การให้คำติชมไม่ได้หมายความว่าเป็นการโจมตีเสมอไปเป็นเวลาหลายปีแล้วที่เมื่อผู้ใช้บ่นว่า Snap เริ่มทำงานช้ากว่ารูปแบบอื่นๆ ส่วนหนึ่งของการตอบสนองมักเป็นการป้องกันตัว โดยกล่าวหาว่าคำวิจารณ์นั้นมาจาก "พวกเกลียดชัง" เมื่อเวลาผ่านไป ก็มีการยอมรับว่ามีปัญหาด้านประสิทธิภาพจริง จึงได้มีการตรวจสอบและปรับปรุงแก้ไข ปัจจุบัน ในหลายกรณี Snap มีความเร็วเทียบเท่ากับแพ็กเกจ "ดั้งเดิม" แล้ว

Snapscope เข้ากันได้อย่างลงตัวกับรูปแบบการทำงานแบบนั้น: ข้อความนี้ไม่ได้บอกว่า Snap ไม่ปลอดภัยแต่สิ่งที่แตกต่างออกไปคือ ข้อมูลที่ช่วยปรับปรุงระบบให้ดีขึ้น การพูดซ้ำๆ ว่า (“ปลอดภัย เชื่อถือได้”) กับการแสดงรายงานที่เป็นรูปธรรมพร้อม CVE วันที่ และเวอร์ชันนั้นมีความสำคัญอย่างมาก โดยเฉพาะอย่างยิ่งสำหรับผู้ใช้และบริษัทที่ต้องการหาเหตุผลมาสนับสนุนการตัดสินใจทางเทคนิค

การใช้งานจริง: ใครได้รับประโยชน์สูงสุดจาก Snapscope

แม้ว่าใครๆ ก็สามารถเข้าไปค้นหาพัสดุทางออนไลน์ด้วยความอยากรู้ได้ก็ตาม Snapscope มีประโยชน์อย่างยิ่งสำหรับโปรไฟล์ทั้งสามแบบ ชัดเจนมากภายในระบบนิเวศของ GNU/Linux

ครั้งแรกที่ ผู้ดูแลระบบที่จัดการสภาพแวดล้อมที่มีการติดตั้ง Snap จำนวนมากสำหรับพวกเขาแล้ว การมีเครื่องมือที่ช่วยให้ตรวจสอบสถานะความปลอดภัยของแพ็กเกจที่สำคัญได้อย่างรวดเร็วนั้นมีค่าอย่างยิ่ง พวกเขาสามารถตรวจสอบได้ว่าแอปพลิเคชันใดมีช่องโหว่ CVE ที่รอการแก้ไขมากที่สุด จัดลำดับความสำคัญของการย้ายหรือการทดแทน หรือแม้กระทั่งตัดสินใจว่าจะใช้ Snap ต่อไปหรือเลือกใช้รูปแบบอื่น

ประการที่สอง ผู้พัฒนาและผู้ดูแลแพ็กเกจ Snap พวกเขาพบว่า Snapscope เป็นพันธมิตรที่สะดวกสบาย มันช่วยให้พวกเขามองเห็นได้อย่างรวดเร็วว่าช่องโหว่ใดบ้างที่ส่งผลกระทบต่อไลบรารีที่พวกเขารวมไว้ในแพ็กเกจ พร้อมทั้งเชื่อมโยงไปยังข้อมูลที่จำเป็นในการอัปเดตส่วนประกอบต่างๆ และออกแพทช์ใหม่ นอกจากนี้ การที่ทุกคนสามารถขอสแกนใหม่ได้ยังสร้างแรงกดดันที่ดีในการรักษาซอฟต์แวร์ให้ทันสมัยอยู่เสมอ

และประการที่สาม ผู้ใช้ที่กังวลเกี่ยวกับความปลอดภัย ผู้ที่ต้องการทราบความเสี่ยงอย่างชัดเจนก่อนติดตั้งโปรแกรมใดๆ สามารถใช้ Snapscope ตรวจสอบความปลอดภัยของโปรแกรมได้อย่างรวดเร็วก่อนคลิก "ติดตั้ง" ใน Snap Store จุดประสงค์ไม่ใช่เพื่อสร้างความตื่นตระหนก แต่เพื่อเป็นเครื่องมือช่วยในการตัดสินใจอย่างรอบคอบ

ความสัมพันธ์กับรูปแบบอื่นๆ และบทบาทของมาตรฐานหลัก

ประเด็นหนึ่งที่มักถูกตีความผิดคือความคิดที่ว่า Snapscope จะพิสูจน์ได้ว่า Snap นั้นแย่กว่าหรือมีความปลอดภัยน้อยกว่ารูปแบบอื่นๆความจริงแล้วไม่ใช่เช่นนั้นเลย: ไลบรารีที่มีช่องโหว่เดียวกันที่ตรวจพบใน Snap อาจถูกบรรจุอยู่ใน DEB, AppImage, Flatpak หรือแม้แต่ในคอนเทนเนอร์ และ Grype ก็ยังคงสามารถตรวจจับได้อยู่ดี

ในความเป็นจริง หากมีการกำหนดค่าการวิเคราะห์ประเภทเดียวกันสำหรับ แพ็กเกจ DEB แบบดั้งเดิมหรืออิมเมจคอนเทนเนอร์ช่องโหว่ที่คล้ายคลึงกันมาก ทั้งในแง่ของจำนวนและประเภท น่าจะปรากฏขึ้น ความแตกต่างคือ ในขณะนี้ เครื่องมือนี้มุ่งเน้นไปที่ Snap เนื่องจากเป็นระบบนิเวศที่ Alan Pope คุ้นเคยมากที่สุด

ในนามของ Canonical บริษัทได้ดำเนินการลดช่องโหว่ด้านความปลอดภัยและปรับปรุงประสิทธิภาพการทำงาน ของรูปแบบทั้งบนเดสก์ท็อปและเซิร์ฟเวอร์ ตัวอย่างเช่น ความท้าทายล่าสุดในซอฟต์แวร์ลินุกซ์"การปรับฐาน" ที่กล่าวถึงก่อนหน้านี้ การปรับปรุงเวลาเริ่มต้น และมาตรการล็อกดาวน์ที่เข้มงวด ล้วนเป็นส่วนหนึ่งของความพยายามอย่างต่อเนื่องนั้น

นักวิจารณ์บางคนได้ชี้ให้เห็นถึงประเด็นต่างๆ เช่น ระบบแบ็กเอนด์ที่เป็นกรรมสิทธิ์ของ Snap Store หรือนโยบายการอัปเดตอัตโนมัติสิ่งนี้ถึงขั้นทำให้ระบบปฏิบัติการอย่าง Linux Mint จำกัดการใช้งาน Snap เป็นค่าเริ่มต้น ในบริบทนี้ เครื่องมือภายนอกอย่าง Snapscope สามารถทำหน้าที่เป็นสะพานเชื่อมได้ โดยให้ข้อมูลที่เป็นกลางและช่วยให้ผู้ใช้แต่ละคนตัดสินใจได้ว่าการใช้รูปแบบนี้คุ้มค่าหรือไม่

อลันแสดงความคิดเห็นว่า คุณไม่สามารถผสานผลงานของคุณเข้ากับ Snap Store ได้โดยตรงเพราะนั่นจะทำให้เกิดการเปลี่ยนแปลงและต้องเข้าถึงโครงสร้างพื้นฐานของ Canonical ซึ่งเขาไม่มี อย่างไรก็ตาม เขาได้ระบุว่า Canonical มีอิสระที่จะนำแนวคิดหรือโค้ดจากโครงการไปบูรณาการหรือพัฒนาต่อยอด ไม่ว่าจะเป็นในรูปแบบของบริการสาธารณะหรือเครื่องมือตรวจสอบภายในประเภทอื่น ๆ ก็ตาม

การอัปเดต การสแกนซ้ำ และการพัฒนาในอนาคตของเครื่องมือ

รายละเอียดที่น่าสนใจอย่างหนึ่งเกี่ยวกับ Snapscope คือ ฟังก์ชันนี้ช่วยให้คุณสามารถสแกนแพ็กเก็ตเดิมซ้ำได้หลายครั้งมองเผินๆ อาจดูเหมือนซ้ำซ้อน แต่จริงๆ แล้วมันสมเหตุสมผลอย่างยิ่ง เพราะฐานข้อมูลช่องโหว่มีการอัปเดตอยู่ตลอดเวลา ดังนั้นการสแกนในวันนี้อาจให้ผลลัพธ์ที่แตกต่างจากการสแกนเมื่อสัปดาห์ที่แล้ว แม้ว่า Snap จะไม่ได้เปลี่ยนแปลงก็ตาม

นี่อธิบายว่าทำไม มีคำขอวิเคราะห์หลายรายการสำหรับแพ็กเกจเวอร์ชันเดียวกันปรากฏบนเว็บการสแกนแต่ละครั้งจะได้รับประโยชน์จากข้อมูลล่าสุดที่มีอยู่ในแหล่งข้อมูลด้านความปลอดภัย ซึ่งอาจเปิดเผยปัญหาที่ไม่ได้ระบุไว้ก่อนหน้านี้

ในส่วนของการปรับปรุงในอนาคต อลันได้แสดงความสนใจใน... เพื่อให้สามารถสแกนเวอร์ชันและช่องทางต่างๆ ของแอป Snap เดียวกันได้ (ตัวอย่างเช่น เวอร์ชันเสถียร เบต้า เอดจ์ หรือ ESR ของแอปพลิเคชันต่างๆ เช่น Firefox และ Thunderbird) ปัจจุบัน ฟังก์ชันนี้ถูกจำกัดด้วยความสามารถของเครื่องมือพื้นฐาน แต่มีประเด็นที่เปิดอยู่และคำขอแก้ไขเพื่อเพิ่มการสนับสนุนสำหรับการเลือกเวอร์ชันเฉพาะ เมื่อฟังก์ชันนี้พัฒนาเต็มที่แล้ว แนวคิดคือการรวมเข้ากับ Snapscope

ในขณะเดียวกัน โครงการนี้ยังคงดำเนินต่อไป งานที่กำลังดำเนินการอยู่ แต่ในสภาพปัจจุบันก็มีประโยชน์มากแล้วเมื่อชุมชนใช้งาน รายงานปัญหา และเสนอแนะการปรับปรุง ขอบเขตและความแม่นยำของฐานข้อมูลก็จะเพิ่มขึ้น เช่นเดียวกับฐานข้อมูลช่องโหว่ต่างๆ เอง

Snapscope วางตำแหน่งตัวเองเป็นเครื่องมือสำคัญในการเปิดเผยความปลอดภัยที่แท้จริงของแพ็กเกจ Snapโดยไม่ใช้วิธีการสร้างความตื่นตระหนกแบบง่ายๆ หรือปกป้องรูปแบบนั้นอย่างไม่ลืมหูลืมตา โปรแกรมนี้ให้ข้อมูลที่ชัดเจน ช่วยระบุไลบรารีที่ล้าสมัย กระตุ้นให้ผู้ดูแลระบบปรับปรุงการทำงาน และมอบเครื่องมือที่เป็นประโยชน์แก่ผู้ใช้และผู้ดูแลระบบในการตัดสินใจอย่างรอบรู้ ในระบบนิเวศที่การถกเถียงเรื่องประสิทธิภาพ ความน่าเชื่อถือในคลังเก็บข้อมูล และรูปแบบการอัปเดตเกิดขึ้นพร้อมกัน การมีโปรแกรมสแกนแบบสแตนด์อโลนเช่นนี้จึงสร้างความแตกต่างอย่างมาก