Share

DevSecOps คืออะไร? ทำไมสำคัญกับโลกไซเบอร์

Last updated: 15 Aug 2024
332 Views

DevSecOps คืออะไร? ทำไมสำคัญกับโลกไซเบอร์

สภาพแวดล้อมเกี่ยวกับภัยคุกคามในปัจจุบัน ประกอบกับแรงผลักดันในการส่งมอบแอปพลิเคชันได้เร็วขึ้น บังคับให้องค์กรต่างๆ ต้องบูรณาการการรักษาความปลอดภัยทั้งวงจรการพัฒนาซอฟต์แวร์โดยไม่ลดประสิทธิภาพการทำงานของนักพัฒนา

จึงเกิดเป็น "DevSecOps (Development, Security, and Operations)" ซึ่งเป็นแนวทางในการพัฒนาซอฟต์แวร์ที่ผสานรวมแนวทางปฏิบัติด้านความปลอดภัยตลอดวงจรการพัฒนาซอฟต์แวร์ทั้งหมด

โดยเน้นการทำงานร่วมกันและการสื่อสารระหว่างทีมพัฒนา ทีมรักษาความปลอดภัย และทีมปฏิบัติการเพื่อให้แน่ใจว่ามีการรักษาความปลอดภัยในทุกขั้นตอนของกระบวนการพัฒนาซอฟต์แวร์ในรูปแบบของ Security Security Left ขั้นตอนสำคัญในการรักษาความปลอดภัยโค้ดแอปพลิเคชันในช่วงการพัฒนา

แนวทางนี้เกี่ยวข้องกับการบูรณาการแนวปฏิบัติด้านความปลอดภัยในช่วงต้นของวงจรการพัฒนาซอฟต์แวร์ โดยเริ่มต้นจากขั้นตอนการเขียนโค้ดตลอดจนกระบวนการพัฒนาและการปรับใช้ทั้งหมด ด้วยการเปลี่ยนการทดสอบ Security Security Left องค์กรต่างๆ จึงสามารถระบุและแก้ไขช่องโหว่ได้ตั้งแต่ระยะแรก ลดความเสี่ยงของการละเมิดความปลอดภัย และรับประกันการส่งมอบแอปพลิเคชันที่ปลอดภัย

โดยปกติการสร้างแอปพลิเคชันจะใช้ซอฟต์แวร์โอเพ่นซอร์ส OSS (Open Source Software) และส่วนประกอบจากหลายๆ ส่วนรวมเข้าด้วยกัน ซึ่งอาจทำให้เกิดช่องโหว่ใหม่ๆ กับแอปพลิเคชัน โดยเหล่าบรรดาแฮกเกอร์พยายามใช้ประโยชน์จากช่องโหว่ของส่วนประกอบเหล่านี้ซึ่งทำให้ผู้ใช้งานซอฟต์แวร์ตกอยู่ในความเสี่ยง

อย่างที่เราทราบกันดีว่าซอฟต์แวร์ก็คือพื้นที่การโจมตีที่ระบุที่อยู่ที่ใหญ่ที่สุดขององค์กร โดยตามสถิติแล้วช่องโหว่ของซอฟต์แวร์มากกว่า 80% เกิดขึ้นผ่านซอฟต์แวร์โอเพ่นซอร์ส (OSS) และส่วนประกอบของทีมที่เกี่ยวข้อง 

อีกทั้งการโจมตีห่วงโซ่อุปทานทางดิจิทัลเริ่มรุนแรง ซับซ้อน และหลากหลายมากขึ้น ภายในปี 2568 ประมาณ 45% ขององค์กรจะต้องเผชิญกับการถูกโจมตีอย่างน้อยหนึ่งครั้ง

นอกจากนี้ ภายในปี 2569 ต้นทุนรวมของการโจมตีทางไซเบอร์ในห่วงโซ่อุปทานซอฟต์แวร์ต่อธุรกิจจะมีมูลค่ามากกว่า 80.6 พันล้านดอลลาร์ทั่วโลก

ดังนั้น การสร้างและใช้งานโปรแกรม DevSecOps ที่มีประสิทธิภาพหมายความว่า องค์กรสามารถใช้งานแพลตฟอร์มการจัดส่งที่ปลอดภัย ทดสอบช่องโหว่ของซอฟต์แวร์ จัดลำดับความสำคัญและแก้ไขช่องโหว่ ป้องกันการเปิดตัวรหัสที่ไม่ปลอดภัย และรับประกันความสมบูรณ์ของซอฟต์แวร์ทั้งหมด

นอกจากนี้ การทำลายไซโลและการทำงานร่วมกันอย่างต่อเนื่องจึงเป็นสิ่งสำคัญต่อความสำเร็จ โดยทั่วไปแล้ว องค์กรที่เน้น DevOps และไม่มีเฟรมเวิร์ก DevSecOps ที่เป็นทางการใดๆ จะเห็นการรักษาความปลอดภัยที่ไม่พึงประสงค์

สำหรับการทำงานร่วมกันและการดำเนินงานเป็นทีมของ DevSecOps ควรคำนึงถึงต่อไปนี้

  • กำหนดความปลอดภัยที่สามารถวัดผลได้ เช่น เวลาเฉลี่ยในการแก้ไข และการลด % ของสัญญาณแจ้งเตือน CVE (Common Vulnerabilities and Exposures) เพื่อใช้ติดตามช่องโหว่ต่างๆ
  • มีส่วนร่วมของนักพัฒนาซอฟต์แวร์และทีม DevOps รวมถึงกระบวนการประเมินและจัดซื้อจัดจ้างเครื่องมือรักษาความปลอดภัยใหม่
  • ตรวจสอบให้แน่ใจว่าไม่มีกระบวนการใดของ DevSecOps ที่ทำงานเดี่ยวๆ ที่ไม่เชื่อมต่อกับส่วนประกอบอื่นๆ
  • เน้นย้ำเรื่องการเลือกเครื่องมือและแนวปฏิบัติด้านความปลอดภัยเพื่อการทำงานที่มีประสิทธิภาพของนักพัฒนาและความรวดเร็ว

ท้ายที่สุดแล้วการเปลี่ยนแปลงรูปแบบการรักษาความปลอดภัยจะประสบความสำเร็จได้ต้องเริ่มต้นด้วยการบูรณาการและการจัดระบบความปลอดภัยประเภทต่างๆ

ตลอดจนขั้นตอนการพัฒนา มีการทดสอบความปลอดภัยของแอปพลิเคชันเพื่อตรวจจับและแก้ไขช่องโหว่ตลอดวงจรการพัฒนาซอฟต์แวร์ ก่อนที่แอปพลิเคชันจะเข้าสู่การใช้งานจริงครับ

สามารถติดตามบทความจาก CEO ผ่านทางบทความ Think Secure โดย คุณนักรบ เนียมนามธรรม (นักรบ มือปราบไวรัส) เป็นประจำทุกสัปดาห์ ได้ทางหนังสือพิมพ์กรุงเทพธุรกิจ หรือช่องทาง Online ที่ https://www.bangkokbiznews.com/category/tech/gadget 

ที่มา: หนังสือพิมพ์กรุงเทพธุรกิจ (ฉบับวันที่ 2 กรกฎาคม 2567)
https://www.bangkokbiznews.com/blogs/tech/gadget/1133978 


Related Content
This website uses cookies to enhance your experience and providing the best service from us. Please confirm the acceptance. You can learn more about our use of cookies from our Policy. Privacy Policy and Cookies Policy
Compare product
0/4
Remove all
Compare