อ่านเอกสารเกี่ยวกับการสำรวจเรื่อง DevSecOps Community Survey
มีหลาย ๆ เรื่องที่น่าสนใจ เลยสรุปไว้ดูนิดหน่อย
น่าจะมีประโยชน์สำหรับบริษัทที่เริ่มนำมาประยุกต์ใช้งาน
เพื่อแก้ไขปัญหาและปรับปรุงการพัฒนาไปจนถึงส่งมอบระบบงานให้ดีขึ้น
มาเริ่มกันเลย
เป็นผลการสำรวจจากจำนวน 2,076 คน
พบว่านำแนวคิดและแนวปฏิบัติของ DevOps มาใช้งานจริงจัง 25%
กำลังนำมาใช้งานเพื่อปรับปรุงบางอย่าง 49%
ที่เหลือยังไม่ได้นำมาใช้งานจริงจัง
โดยรวมการนำมาใช้งานสูงขึ้นมาแบบก้าวกระโดดมาก ๆ คือ 338%
เรื่องของ Security นั้นได้ถูกนำเข้าไปเป็นขั้นตอนหนึ่งในระบบ Automation ของทุก ๆ ขั้นตอนการพัฒนา
ตั้งแต่การออกแบบ พัฒนา ทดสอบ ไปถึงกาาร deploy บน production server เรื่องของ Automation จึงขาดไม่ได้เลย
แนวโน้มต่าง ๆ ก็วิ่งไปสู่โลกของ containerization ทั้งหมด
ทั้งเรื่องของ image registry ที่ใช้ภายใน
ทั้งเรื่องของ container security
ทั้งเรื่องของ Infrastructure as a Code
นี่มันเครื่องมือล้วน ๆ !!
การลงทุนในเรื่องของ Security Tools สูงขึ้นมาก ๆ ประกอบไปด้วย
- Application firewall
- Container และ application security
- Open source governance
- Static application analysis
- Dynamic application analysis
สิ่งที่น่าสนใจมาก ๆ คือ เรื่องของ Security !!
โดยที่นักพัฒนารู้และเข้าใจว่า Security มีความสำคัญ
แต่ไม่มีเวลาเพียงพอสำหรับที่จะไปทำหรือใส่ใจ
เรื่องเวลาไม่เพียงพอนี่สนใจมาก ๆ
อีกอย่างคือ มากกว่า 62% ของบริษัทยังไม่ควบคุม !!
หรือจัดการการใช้งาน open source หรือ 3-party component
ที่ใช้ใน application เลย ซึ่งนี่ถือว่า น่ากลัวมาก ๆ
แต่เรื่องที่ขัดแย้งมาก ๆ คือ 100:10:1
100 คือจำนวนคนในทีมพัฒนา
10 คือจำนวนคนในทีม operation
1 คือจำนวนคนในทีม security
คำถามแรกคือ มีการอบรมเรื่องของ Application Security หรือไม่ ?
35% ของคำตอบทั้งบริษัทที่ขั้นตอนการพัฒนาแบบ waterfall และ Agile ตอบว่า ไม่มี !! ส่วนอื่น ๆ ก็มีทั้ง E-learning และ การอบรมภายใน
ดูเหมือนว่า เรื่องความรู้ต่าง ๆ ทาง security น่าจะยังขาดอยู่สูงมาก ๆ
ทั้ง Application, Network และ Infrastructure
แต่เครื่องมือนั้นมาเต็มที่เลย มันดูแปลก ๆ ดีนะ !!
ส่วนใหญ่เห็นว่า
ต้องเตรียมพร้อมรับมือกับการโจมตี
แต่ความรู้ในการสร้างและดูแลกลับน้อย
จุดนี้คือเรื่องใหญ่เลย จะพึ่งเครื่องมืออย่างเดียวไม่เพียงพอ
คนก็ต้องมีความรู้ด้วยเช่นกัน
