DevSecOps คืออะไร
28 กันยายน 2565
DevSecOps เป็นการรวมกันของทีม Development, Security, และ Operations โดยการรวมเรื่องของ security เข้าไปในทุกๆขั้นตอนของวงจรการพัฒนา software (software development lifecycle) เริ่มตั้งแต่การ design, integration, testing, deployment และ software delivery ในกระบวนการของ DevOps มีเป้าหมายสำคัญเพื่อลดเวลาของ software development life cycle ให้สั้นเหลือระยะดับสัปดาห์หรือแม้กระทั่งวัน การยึดวิธีการรักษาความปลอดภัยแบบเก่าจะทำให้เกิดการเสียเวลาจนไม่สามารถส่งมอบ software ได้ตามเวลามีกระทบต่อธุรกิจ ดั้งนั้น DevSecOps จึงรวมเรื่องของ Security เข้าไปกับกระบวนการและเครื่องมือของ DevOps พัฒนาอยู่ใน Continuous Integration (CI) และ Continuous Delivery (CD) pipelines
ความสำคัญของ Application Security Testing (AST)
เนื่องด้วยปัจจุบันหลายองค์กรหันมา ให้ความสำคัญกับการพัฒนาซอฟท์แวร์หรือแอฟพริเคชั่นมากขึ้น เพื่อช่วยผลักดันธุรกิจให้เติบโต ขณะที่ซอฟท์แวร์ที่พัฒนาเริ่มมีความยุ่งยากและซับซ้อนกว่าในอดีต จึงต้องคำนึงถึงเรื่องความปลอดภัยในการพัฒนาซอฟท์แวร์ขององค์กรด้วยเช่นกัน ทั้งนี้ Application Security Testing (AST) ยังคงเป็นหัวใจสำคัญของการส่งมอบซอฟท์แวร์ที่มีปลอดภัย
Checkmarx มุ่งมั่นพัฒนาเครื่องมือ Application Security (AppSec) เพื่อ DevSecOps
Checkmarx ก่อตั้งตั้งแต่ปี 2006 เป็นผู้นำในตลาดที่มุ่งเน้นพัฒนาเครื่องมือ หรือ Platform ทางด้าน Application Security Testing (AST) มานานกว่า 15 ปี ทำสินค้าด้านนี้เพียงอย่างเดียว และอยู่ใน Leaders ของ Gartner ในเรื่องของ Application Security Testing (AST) มาอย่างต่อเนื่องติดต่อกันมากกว่า 5 ปี ผลงานที่โด่งดังของทีม Security Research คือ สามารถตรวจเจอช่องโหว่เป็นจำนวนมากบน Google และ Samsung smartphone โดยช่องโหว่เหล่านั้นเปิดให้ attacker สามารถ remote control ควบคุมสั่งงาน แอฟพริเคชั่นต่างๆบนมือถือได้ เช่นสั่งให้ถ่ายรูป ถ่ายวิดีโอ อัดบทสนทนา และระบุตำแหน่งของโทรศัพท์ ซึ่งทีม Security Research ได้ทำการรายงานตำแหน่งของช่องโหว่เหล่านี้ให้กับทีม Android security ที่ Google ทราบเพื่อทำการแก้ไข
เทคโนโลยีของของ Checkmarx ช่วยองค์กรพัฒนา Application ที่มีความปลอดภัยสู่ผู้ใช้งาน
CxSAST คือ Static Application Security Testing ของ Checkmarx เป็นเทคโนโลยีระดับ enterprise มีความแม่นยำสูง ที่ช่วยในการ สแกนหาช่องโหว่ของ Source Code ก่อนที่จะนำมา Build เป็น Package โดยจะระบุตำแหน่งใน code ที่ต้องแก้ไขและแนะนำวิธีการแก้ไข นอกจากนั้นถ้าใน source code มีช่องโหว่จำนวนมาก Checkmarx มีฟิเจอร์ที่เรียกว่า Best fix Location ที่แนะนำว่าควรแก้ไขที่ตำแหน่งไหนก่อน เพื่อจะสามารถลดจำนวนช่องโหว่ใน source code ได้มากที่สุด รวมถึงการใช้งานสามารถใช้ร่วมกับภาษาทางโปรแกรมมิ่งได้มากกว่า 25 ภาษา
CxSCA คือ Software Composition Analysis ของ Checkmarx ช่วยตรวจสอบ Open-Source Library ที่นำมาใช้ พร้อมทั้งจัดระดับความสำคัญของความเสี่ยงที่มากที่สุด ช่วยตรวจสอบหาช่องโหว่ที่เป็นที่รู้จักในฐานข้อมูล CVE รวมไปถึงช่องโหว่ที่ยังไม่เคยเกิดขึ้นมาก่อนและยังไม่มีในฐานข้อมูล CVE สามารถทำเป็น automate SCA workflow ได้
Supply Chain Security (SCS) ฟิเจอร์ใหม่ที่มีอยู่ใน CxSCA ทำให้เราได้ทราบว่ามี Open Source Package อะไรบ้างที่อยู่ในแอฟพริเคชั่นของเรา สามารถค้นหาได้จาก Software Bill of Materials (SBOM) ช่วยหา Backdoor และ malicious open-source packages ที่ถูกสร้างหรือปรับแต่งโดยผู้ไม่หวังดี ประเมินพฤติกรรมหรือการกระทำของผู้ที่สร้างหรือปรับแต่ง open-source packages ในทุกโปรเจ็ค ที่เขาเข้าไปปรับเปลี่ยนแก้ไข packages รวมถึงเฝ้าระวังสังเกตพฤติกรรมและวิเคราะห์ open-source packages ด้วยการวิเคราะห์แบบ static และ dynamic ทำการตรวจหาภัยคุกคามอย่างต่อเนื่องโดยใช้ฐานข้อมูล threat intelligence
KICS (Keeping Infrastructure as Code Secure)
ปัจจุบันมีการใช้ Infrastructure as Code กันแพร่หลาย ในการใช้สร้าง Virtual Infrastructure ด้วยการเขียน code เช่น การสร้าง Virtual machine, Network, Load balancer ซึ่งใช้รูปแบบของ DevOps และ Versioning โดยนำ template และเครื่องมือต่างๆมาใช้ ทำให้เกิดรูปแบบอัตโนมัติ มีประสิทธิภาพ และความถูกต้อง โดยเฉพาะอย่างยิ่ง กับระบบที่มีขนาดใหญ่ เมื่อต้องการสร้างเครื่อง Virtual machine จำนวนมาก มี Network configuration ต่างๆ หรือ การเปิดและ configure ใช้งาน service ต่างๆ เช่นบน Cloud การใช้ IaC เข้ามาช่วยทำให้ลดทั้งเวลา จำนวนคน และความผิดพลาดอันเกิดจากการสร้างแบบ Manual ถ้าหากมีสิ่งผิดปกติของ configuration ซอฟท์แวร์สามารถตรวจหาเจอได้ง่าย จากการอ่าน code และเมื่อมีการแก้ไข configuration ก็สามารถดูได้ว่าใครเป็นคนแก้ไข แก้ไขเมื่อไหร่ เก็บเป็น เวอร์ชั่นได้ เนื่องจาก configuration อยู่ในรูปแบบ code นั่นเอง
KICS สามารถช่วย DevOps และ Developer ที่ต้องการสร้าง Resource บน Cloud โดยใช้ IaC Framework ต่างๆ เช่น Terraform, AWS CloudFormation, Azure RM และ Google DM ในการค้นหาจุดบกพร่องของ configuration (misconfiguration) และ ช่องโหว่ด้านความปลอดภัย ก่อนที่จะทำการ deploy ผลลัพธ์ที่ได้คือช่วยป้องกัน Cloud Infrastructure ขององค์ให้มีความปลอดภัยมากขึ้นโดยเป็นไปตามมาตรฐาน CIS benchmark, Security Best Practice และ Application Security Guideline ยังสามารถใช้งานร่วมกันกับ CI/CD pipeline ได้
Checkmarx Fusion เป็น Dashboard ที่ช่วยให้เราเห็นภาพรวมทั้งหมด ของความปลอดภัยบนโค้ด โดยช่วยเชื่อมโยงผลลัพธ์ และ Security alert ต่างๆจากเครื่องมือ Application Security Testing หลายๆตัว ที่เราใช้ในการทดสอบเรื่องความปลอดภัยกับโค้ดในหลายๆ Stage ของ SDLC
Checkmarx Fusion ช่วยให้คนที่รับผิดชอบดูแลทางด้าน Application Security (AppSec) ทำงานได้ง่ายและรวดเร็วขึ้น Checkmarx Fusion จะช่วยเชื่อมโยงผลลัพธ์การสแกนด้านความปลอดภัย หรือช่วยจับคู่ภัยคุกคามจากเครื่องมือทั้ง 3 คือ SAST, SCA และ IaC configuration file ให้แสดงออกมาในรูปแบบของกราฟบน Dashboard เพียงหน้าเดียว ทำให้เห็นองค์ประกอบทั้งหมดของซอฟท์แวร์ได้แก่ Microservice ทั้งหมดของซอฟท์แวร์ตัวนั้น, การเชื่อมโยงกันของแต่ละ Microservice, Cloud resource ที่ Microservice แต่ละอันใช้งานอยู่ รวมถึงผลลัพธ์ของช่องโหว่ด้านความปลอดภัยที่เกิดจากการแสกนโดยใช้ SAST และ SCA
CxCB คือ Codebashing เป็นฟิเจอร์เสริมสำหรับ Application Security Training Platform ที่ช่วยสอนนักพัฒนา software ให้มีความรู้ในการเขียนโค้ดเพื่อให้ซอฟท์แวร์มีความปลอดภัย และมีช่องโหว่น้อยสุด Checkmarx มีตัวอย่าง และ Best practice ใช้งานได้จริงซึ่งรวบรวมมามากกว่า 15 ปี จากลูกค้ามากว่า 1,600 ราย โดยเฉพาะองค์กรที่มี Developer จำนวนมาก การมี Training Platform เป็นจุดศูนย์กลางจะช่วยให้สามารถพัฒนาความรู้ให้ทีมได้อย่างรวดเร็ว และผู้บริหารสามารถเห็นรายงานแนวโน้มความก้าวหน้าทางความรู้ของ Developer แต่ละคนได้ นอกจากนั้นเมื่อใช้งานร่วมกับ CxSAST จะช่วยเพิ่มความรวดเร็วในการแก้ไขช่องโหว่ของ Source Code ได้ทันท่วงที เพราะจะแสดง Link เชื่อมโยงไปยังบทเรียนของวิธีการแก้ไขช่องโหว่นั้นได้ทันที
ถ้าทีม Developer สามารถเขียนโค้ดให้ Application มีความปลอดภัยสูงสุดช่องโหว่เกิดน้อยสุด ตั้งแต่ในครั้งแรก สิ่งที่เกิดประโยชน์กับธุรกิจคือ Application สามารถพร้อมออกสู่ตลาดได้เร็วกว่าการเขียนโค้ด โดยไม่ได้ให้ความสำคัญกับเรื่อง Code security เมื่อเกิดปัญหาแล้วจึงค่อยมาแก้ไขภายหลัง
Checkmarx One Platform ครบจบทุกเรื่อง AppSec ใน Platform เดียว
Checkmarx One Platform ประกอบด้วย AST service ซึ่งเป็นแพลตฟอร์มแบบครบวงจรให้บริการบน Cloud-based หรือก็คือ SaaS ผ่านแพลตฟอร์มเดียว โดยรวบรวมฟีเจอร์ต่างๆ ประกอบด้วย SAST, SCA, SCS, KICS และ Fusion
สามารถวิเคราะห์ช่องโหว่แล้วรวบรวมและตรวจสอบ เพื่อแสดงผลลัพธ์จากการแสกน พร้อมทั้งให้คำแนะนำในการแก้ไข ซึ่งสามารถรวมเข้ากับระบบงานและเครื่องมือที่มีอยู่เดิมได้ ใช้ระบบคลาวด์ที่มีความปลอดภัย ช่วยประหยัดค่าใช้จ่ายทางด้าน Infrastructure โดยแพลตฟอร์ม Checkmarx one มีการพัฒนาอัพเดตอย่างต่อเนื่องเพื่อเพิ่มประสิทธิภาพในสแกนค้นหาช่องโหว่
สนใจ Checkmarx ต้องมาที่ Get On Technology
บริษัทเก็ตออนเทคโนโลยี ได้รับการแต่งตั้งเป็นตัวแทนจำหน่าย(Authorized Checkmarx Distributor) อย่างเป็นทางการจากบริษัท Checkmarx โดยมีทีมงานผู้เชี่ยวชาญให้คำปรึกษา งาน Demo, POC รวมถึงงานติดตั้ง, สนับสนุนช่วยเหลือ และฝึกอบรมสำหรับกลุ่มพาทเนอร์ทางด้านโซลูชั่น Application Security และ DevSecOps
ทางทีม Engineer ของบริษัทเก็ตออนเทคโนโลยี ไม่ได้มีความเชี่ยวชาญเฉพาะ Checkmarx เท่านั้น แต่ยังเชี่ยวชาญการทำ DevSecOps แบบครบวงจร จึงมีความสามารถนำ Checkmarx ไป Integrate ทำงานร่วมกับเครื่องมืออื่นใน DevSecOps ได้อย่างสมบูรณ์
อีกทั้งยังสนับสนุนพาทเนอร์ในการจัดงานกิจกรรม(event) ให้กลุ่มลูกค้าผู้ที่สนใจ (End user) เช่น สนับสนุนแบรนด์เนอร์, ของขวัญ, Voucher และเจ้าหน้าที่ร่วมงาน รวมถึงส่วนลด และโปรโมชั่นต่างๆ จากเก็ตออนเทคโนโลยีให้กับพาทเนอร์ผู้ที่สนใจ
ข้อมูลเกี่ยวกับผลิตภัณฑ์ Checkmarx เพิ่มเติม
Application Security Testing Company | Software Security Testing Solutions | Checkmarx
ติดต่อสอบถามรายละเอียดเพิ่มเติมเกี่ยวกับผลิตภัณฑ์ Checkmarx หรือ DevSecOps Solution
คุณ ประภัทรศรี ปิยะชัยวุฒิ
DevSecOps Product Sales Manager
Email: prapatsee@got.co.th
Mobile: 080-447-8111
ภาพที่เกี่ยวข้อง
