devsecops Archive

การใช้งาน Dependency Track

Dependency Track คือระบบที่ทำการวิเคราห์ข้อมูล SBOM (Software Bill of Materials) ของระบบงานต่าง ๆ ซึ่งสนับสนุนโดย OWASP นั่นเองโดยจะช่วยตรวจสอบว่า component หรือ library ที่เราใช้ในระบบงานนั้นมีปัญหา หรือ ช่องโหว่ใดบ้างซึ่งจะตรวจสอบจากฐานข้อมูลต่าง ๆ เช่น CVE Database เป็นต้นและแสดงผลในรูปแบบที่เข้าใจง่าย และ tracking ได้ง่าย

Read More…

Docker scan ถูกเอาออกไปแล้ว แทนที่ด้วย Docker Scout

ปกติในการ scan docker image เพื่อหาช่องโหว่ใน imageจะใช้งานผ่าน docker scanให้ทำการเปลี่ยนมาใช้ docker scout แทนใน Docker Desktop ก็สามารถใช้ผ่าน User Interface แบบง่าย ๆ ได้เลย

Read More…

ลองใช้งาน Go Vulnerability Management ในการตรวจสอบเรื่องความปลอดภัย

ทางทีมพัฒนา Go ได้ปล่อย Go Vulnerability Management ออกมาเมื่อปลายปี 2022ซึ่งมีเป้าหมายเพื่อตรวจสอบความปลอดภัยของ codeที่เขียนด้วยภาษา Go รวมทั้ง 3-party library ต่าง ๆว่าอาจจะเสี่ยงหรือมีช่องโหว่ในการโจมตีหรือไม่โดยได้ปล่อย CLI tool ทซึ่งเป็น opensource มาให้ใช้งานชื่อว่า vulncheck

Read More…

เรื่องที่น่าสนใจจาก State of DevOps Report ปี 2020

ผลการสำรวจเรื่อง DevOps ปี 2020 จาก Puppet ถูกปล่อยออกมาแล้ว โดยผลในปีนี้ พบว่ามีการปรับปรุงการนำ DevOps มาใช้งานเยอะมากขึ้น รวมทั้งมีสิ่งที่เปลี่ยนแปลงมากมาย หนึ่งในนั้นคือ  Self-service internal platform การจัดการ change ให้มีประสิทธิภาพมากยิ่งขึ้น ด้วยการทำงานแบบ automation Security integration

Read More…

เก็บมาแบ่งปันเรื่อง OWASP API Security Top 10 ปี 2019

ไปเจอว่า OWASP นั้นเพิ่มเรื่องของ API Security มาด้วย (ตามจริงมานานละ แต่เพิ่งเห็น) กับมีงานที่ต้องนำไปใช้นิดหน่อย เนื่องจากทุกระบบงานก็มีการใช้งาน API (Application Programming Interface) อยู่แล้ว ไม่ว่าจะอยู่ในรูปแบบไหนทั้ง REST, Web API และ WebService เป็นต้น ยิ่งเปิดให้ใช้งานแบบ public ด้วยแล้ว (ไม่ว่าทางตรงหรือทางอ้อม) สิ่งที่สำคัญมาก ๆ คือ เรื่องของความปลอดภัยนั่นเอง

Read More…

สรุปการจัดการเรื่อง Application Security ของ Netflix

เช้านี้นั่งอ่านบทความเรื่อง Scaling Appsec at Netflix เป็นอีกเรื่องที่สำคัญใน application ต่าง ๆ ของบริษัท หน้าที่หลัก ๆ ของเหล่า engineer คือสร้าง product ที่มีคุณค่าต่อลูกค้า แต่ถ้า application เหล่านั้นไม่ปลอดภัย ก็น่าจะเป็นปัญหาใหญ่ที่กระทบต่อ business ของบริษัทได้ ดังนั้นทาง Netflix จึงพยายามจัดการเรื่องนี้ให้ดี

Read More…

ผลที่น่าสนใจจากแบบสำรวจเรื่องของ DevSecOps

อ่านเอกสารเกี่ยวกับการสำรวจเรื่อง DevSecOps Community Surveyมีหลาย ๆ เรื่องที่น่าสนใจ เลยสรุปไว้ดูนิดหน่อย น่าจะมีประโยชน์สำหรับบริษัทที่เริ่มนำมาประยุกต์ใช้งาน เพื่อแก้ไขปัญหาและปรับปรุงการพัฒนาไปจนถึงส่งมอบระบบงานให้ดีขึ้น มาเริ่มกันเลย

Read More…

DevSecOps ของมันต้องมี มันจึงมา

หลังจากที่ดู VDO จากงาน DevSecOps พบว่า มีหลาย ๆ เรื่องที่น่าสนใจ หนึ่งในนั้นคือ Effective DevSecOps ทำการอธิบายเรื่องของ Security ในบริบทของ Development และ Operation ไว้อย่างน่าสนใจ เลยนำมาสรุปไว้หน่อย

Read More…