DevSecOps กระบวนการสำคัญที่เข้ามาช่วยยกระดับความปลอดภัยให้กับ การพัฒนาซอฟต์แวร์ ในองค์กร

         DevSecOps ก็คือการ “เพิ่ม” ข้อบังคับ เครื่องมือหรือขั้นตอนด้านความปลอดภัยเข้าไปในกระบวนการ ของ DevOps เพื่อทำให้การพัฒนาซอฟต์แวร์นั้นทั้งเร็ว มีประสิทธิภาพ และปลอดภัย ซึ่งหากซอฟต์แวร์ต่าง ๆ ได้รับการพัฒนาบนพื้นฐานของการคำนึงถึงความปลอดภัยแล้ว เมื่อ user หรือองค์กรนำไปใช้งานต่อก็จะช่วยลดความเสี่ยงของการเกิดอาชญากรรมทางไซเบอร์ได้

         Geniussoft ได้แบ่งทีมผู้พัฒนาออกเป็น 3 กลุ่ม ได้แก่

แต่เรื่องที่ขัดแย้งมาก ๆ คือ 100:10:1
100 คือจำนวนคนในทีมพัฒนา
10 คือจำนวนคนในทีม operation
1 คือจำนวนคนในทีม security
ดูเหมือนว่า เรื่องความรู้ต่าง ๆ ทาง security น่าจะยังขาดอยู่สูงมาก ๆ

         Checkmarx ช่วยองค์กรพัฒนา Application ที่มีความปลอดภัยสู่ผู้ใช้งาน

CxSAST คือ Static Application Security Testing ของ Checkmarx เป็นเทคโนโลยีระดับ enterprise มีความแม่นยำสูง ที่ช่วยในการ สแกนหาช่องโหว่ของ Source Code ก่อนที่จะนำมา Build เป็น Package โดยจะระบุตำแหน่งใน code ที่ต้องแก้ไขและแนะนำวิธีการแก้ไข นอกจากนั้นถ้าใน source code มีช่องโหว่จำนวนมาก Checkmarx มีฟีเจอร์ที่เรียกว่า Best fix Location ที่แนะนำว่าควรแก้ไขที่ตำแหน่งไหนก่อน เพื่อจะสามารถลดจำนวนช่องโหว่ใน source code ได้มากที่สุด รวมถึงการใช้งานสามารถใช้ร่วมกับภาษาทางโปรแกรมมิ่งได้มากกว่า 25 ภาษา

CxSCA คือ Software Composition Analysis ของ Checkmarx ช่วยตรวจสอบ Open-Source Library ที่นำมาใช้ พร้อมทั้งจัดระดับความสำคัญของความเสี่ยงที่มากที่สุด ช่วยตรวจสอบหาช่องโหว่ที่เป็นที่รู้จักในฐานข้อมูล CVE รวมไปถึงช่องโหว่ที่ยังไม่เคยเกิดขึ้นมาก่อนและยังไม่มีในฐานข้อมูล CVE สามารถทำเป็น automate SCA workflow ได้

 Supply Chain Security (SCS) ฟีเจอร์ใหม่ที่มีอยู่ใน CxSCA ทำให้เราได้ทราบว่ามี Open Source Package อะไรบ้างที่อยู่ในแอพพลิเคชั่นของเรา สามารถค้นหาได้จาก Software Bill of Materials (SBOM) ช่วยหา Backdoor และ malicious open-source packages ที่ถูกสร้างหรือปรับแต่งโดยผู้ไม่หวังดี ประเมินพฤติกรรมหรือการกระทำของผู้ที่สร้างหรือปรับแต่ง open-source packages ในทุกโปรเจ็คต์ ที่เขาเข้าไปปรับเปลี่ยนแก้ไข packages รวมถึงเฝ้าระวังสังเกตพฤติกรรมและวิเคราะห์ open-source packages ด้วยการวิเคราะห์แบบ static และ dynamic ทำการตรวจหาภัยคุกคามอย่างต่อเนื่องโดยใช้ฐานข้อมูล threat intelligence

KICS (Keeping Infrastructure as Code Secure) ปัจจุบันมีการใช้ Infrastructure as Code กันแพร่หลาย ในการใช้สร้าง Virtual Infrastructure ด้วยการเขียน code เช่น การสร้าง Virtual machine, Network, Load balancer ซึ่งใช้รูปแบบของ DevOps และ Versioning โดยนำ template และเครื่องมือต่างๆมาใช้ ทำให้เกิดรูปแบบอัตโนมัติ มีประสิทธิภาพ และความถูกต้อง โดยเฉพาะอย่างยิ่ง กับระบบที่มีขนาดใหญ่ เมื่อต้องการสร้างเครื่อง Virtual machine จำนวนมาก มี Network configuration ต่างๆ หรือ การเปิดและ configure ใช้งาน service ต่างๆ เช่นบน Cloud การใช้ IaC เข้ามาช่วยทำให้ลดทั้งเวลา จำนวนคน และความผิดพลาดอันเกิดจากการสร้างแบบ Manual ถ้าหากมีสิ่งผิดปกติของ configuration ซอฟท์แวร์สามารถตรวจหาเจอได้ง่าย จากการอ่าน code และเมื่อมีการแก้ไข configuration ก็สามารถดูได้ว่าใครเป็นคนแก้ไข แก้ไขเมื่อไหร่ เก็บเป็น เวอร์ชั่นได้ เนื่องจาก configuration อยู่ในรูปแบบ code นั่นเอง

         หากลูกค้าสนใจ Checkmarx สามารถติดต่อได้ที่ Geniussoft ทุกๆช่องทางค่ะ #MakeItBeGenius