DevSecOps คืออะไร? ทำไมสำคัญกับโลกไซเบอร์

Last updated: 15 Aug 2024

165 Views

สภาพแวดล้อมเกี่ยวกับภัยคุกคามในปัจจุบัน ประกอบกับแรงผลักดันในการส่งมอบแอปพลิเคชันได้เร็วขึ้น บังคับให้องค์กรต่างๆ ต้องบูรณาการการรักษาความปลอดภัยทั้งวงจรการพัฒนาซอฟต์แวร์โดยไม่ลดประสิทธิภาพการทำงานของนักพัฒนา

จึงเกิดเป็น "DevSecOps (Development, Security, and Operations)" ซึ่งเป็นแนวทางในการพัฒนาซอฟต์แวร์ที่ผสานรวมแนวทางปฏิบัติด้านความปลอดภัยตลอดวงจรการพัฒนาซอฟต์แวร์ทั้งหมด

โดยเน้นการทำงานร่วมกันและการสื่อสารระหว่างทีมพัฒนา ทีมรักษาความปลอดภัย และทีมปฏิบัติการเพื่อให้แน่ใจว่ามีการรักษาความปลอดภัยในทุกขั้นตอนของกระบวนการพัฒนาซอฟต์แวร์ในรูปแบบของ Security Security Left ขั้นตอนสำคัญในการรักษาความปลอดภัยโค้ดแอปพลิเคชันในช่วงการพัฒนา

แนวทางนี้เกี่ยวข้องกับการบูรณาการแนวปฏิบัติด้านความปลอดภัยในช่วงต้นของวงจรการพัฒนาซอฟต์แวร์ โดยเริ่มต้นจากขั้นตอนการเขียนโค้ดตลอดจนกระบวนการพัฒนาและการปรับใช้ทั้งหมด ด้วยการเปลี่ยนการทดสอบ Security Security Left องค์กรต่างๆ จึงสามารถระบุและแก้ไขช่องโหว่ได้ตั้งแต่ระยะแรก ลดความเสี่ยงของการละเมิดความปลอดภัย และรับประกันการส่งมอบแอปพลิเคชันที่ปลอดภัย

โดยปกติการสร้างแอปพลิเคชันจะใช้ซอฟต์แวร์โอเพ่นซอร์ส OSS (Open Source Software) และส่วนประกอบจากหลายๆ ส่วนรวมเข้าด้วยกัน ซึ่งอาจทำให้เกิดช่องโหว่ใหม่ๆ กับแอปพลิเคชัน โดยเหล่าบรรดาแฮกเกอร์พยายามใช้ประโยชน์จากช่องโหว่ของส่วนประกอบเหล่านี้ซึ่งทำให้ผู้ใช้งานซอฟต์แวร์ตกอยู่ในความเสี่ยง

อย่างที่เราทราบกันดีว่าซอฟต์แวร์ก็คือพื้นที่การโจมตีที่ระบุที่อยู่ที่ใหญ่ที่สุดขององค์กร โดยตามสถิติแล้วช่องโหว่ของซอฟต์แวร์มากกว่า 80% เกิดขึ้นผ่านซอฟต์แวร์โอเพ่นซอร์ส (OSS) และส่วนประกอบของทีมที่เกี่ยวข้อง

อีกทั้งการโจมตีห่วงโซ่อุปทานทางดิจิทัลเริ่มรุนแรง ซับซ้อน และหลากหลายมากขึ้น ภายในปี 2568 ประมาณ 45% ขององค์กรจะต้องเผชิญกับการถูกโจมตีอย่างน้อยหนึ่งครั้ง

นอกจากนี้ ภายในปี 2569 ต้นทุนรวมของการโจมตีทางไซเบอร์ในห่วงโซ่อุปทานซอฟต์แวร์ต่อธุรกิจจะมีมูลค่ามากกว่า 80.6 พันล้านดอลลาร์ทั่วโลก

ดังนั้น การสร้างและใช้งานโปรแกรม DevSecOps ที่มีประสิทธิภาพหมายความว่า องค์กรสามารถใช้งานแพลตฟอร์มการจัดส่งที่ปลอดภัย ทดสอบช่องโหว่ของซอฟต์แวร์ จัดลำดับความสำคัญและแก้ไขช่องโหว่ ป้องกันการเปิดตัวรหัสที่ไม่ปลอดภัย และรับประกันความสมบูรณ์ของซอฟต์แวร์ทั้งหมด

นอกจากนี้ การทำลายไซโลและการทำงานร่วมกันอย่างต่อเนื่องจึงเป็นสิ่งสำคัญต่อความสำเร็จ โดยทั่วไปแล้ว องค์กรที่เน้น DevOps และไม่มีเฟรมเวิร์ก DevSecOps ที่เป็นทางการใดๆ จะเห็นการรักษาความปลอดภัยที่ไม่พึงประสงค์

สำหรับการทำงานร่วมกันและการดำเนินงานเป็นทีมของ DevSecOps ควรคำนึงถึงต่อไปนี้

กำหนดความปลอดภัยที่สามารถวัดผลได้ เช่น เวลาเฉลี่ยในการแก้ไข และการลด % ของสัญญาณแจ้งเตือน CVE (Common Vulnerabilities and Exposures) เพื่อใช้ติดตามช่องโหว่ต่างๆ
มีส่วนร่วมของนักพัฒนาซอฟต์แวร์และทีม DevOps รวมถึงกระบวนการประเมินและจัดซื้อจัดจ้างเครื่องมือรักษาความปลอดภัยใหม่
ตรวจสอบให้แน่ใจว่าไม่มีกระบวนการใดของ DevSecOps ที่ทำงานเดี่ยวๆ ที่ไม่เชื่อมต่อกับส่วนประกอบอื่นๆ
เน้นย้ำเรื่องการเลือกเครื่องมือและแนวปฏิบัติด้านความปลอดภัยเพื่อการทำงานที่มีประสิทธิภาพของนักพัฒนาและความรวดเร็ว

ท้ายที่สุดแล้วการเปลี่ยนแปลงรูปแบบการรักษาความปลอดภัยจะประสบความสำเร็จได้ต้องเริ่มต้นด้วยการบูรณาการและการจัดระบบความปลอดภัยประเภทต่างๆ

ตลอดจนขั้นตอนการพัฒนา มีการทดสอบความปลอดภัยของแอปพลิเคชันเพื่อตรวจจับและแก้ไขช่องโหว่ตลอดวงจรการพัฒนาซอฟต์แวร์ ก่อนที่แอปพลิเคชันจะเข้าสู่การใช้งานจริงครับ

สามารถติดตามบทความจาก CEO ผ่านทางบทความ Think Secure โดย คุณนักรบ เนียมนามธรรม (นักรบ มือปราบไวรัส) เป็นประจำทุกสัปดาห์ ได้ทางหนังสือพิมพ์กรุงเทพธุรกิจ หรือช่องทาง Online ที่ https://www.bangkokbiznews.com/category/tech/gadget

ที่มา: หนังสือพิมพ์กรุงเทพธุรกิจ (ฉบับวันที่ 2 กรกฎาคม 2567)
https://www.bangkokbiznews.com/blogs/tech/gadget/1133978