Dependency Track คือระบบที่ทำการวิเคราห์ข้อมูล SBOM (Software Bill of Materials) ของระบบงานต่าง ๆ ซึ่งสนับสนุนโดย OWASP นั่นเองโดยจะช่วยตรวจสอบว่า component หรือ library ที่เราใช้ในระบบงานนั้นมีปัญหา หรือ ช่องโหว่ใดบ้างซึ่งจะตรวจสอบจากฐานข้อมูลต่าง ๆ เช่น CVE Database เป็นต้นและแสดงผลในรูปแบบที่เข้าใจง่าย และ tracking ได้ง่าย
Read More…
ปกติในการ scan docker image เพื่อหาช่องโหว่ใน imageจะใช้งานผ่าน docker scanให้ทำการเปลี่ยนมาใช้ docker scout แทนใน Docker Desktop ก็สามารถใช้ผ่าน User Interface แบบง่าย ๆ ได้เลย
Read More…
ทางทีมพัฒนา Go ได้ปล่อย Go Vulnerability Management ออกมาเมื่อปลายปี 2022ซึ่งมีเป้าหมายเพื่อตรวจสอบความปลอดภัยของ codeที่เขียนด้วยภาษา Go รวมทั้ง 3-party library ต่าง ๆว่าอาจจะเสี่ยงหรือมีช่องโหว่ในการโจมตีหรือไม่โดยได้ปล่อย CLI tool ทซึ่งเป็น opensource มาให้ใช้งานชื่อว่า vulncheck
Read More…
ผลการสำรวจเรื่อง DevOps ปี 2020 จาก Puppet ถูกปล่อยออกมาแล้ว โดยผลในปีนี้ พบว่ามีการปรับปรุงการนำ DevOps มาใช้งานเยอะมากขึ้น รวมทั้งมีสิ่งที่เปลี่ยนแปลงมากมาย หนึ่งในนั้นคือ Self-service internal platform การจัดการ change ให้มีประสิทธิภาพมากยิ่งขึ้น ด้วยการทำงานแบบ automation Security integration
Read More…
ไปเจอว่า OWASP นั้นเพิ่มเรื่องของ API Security มาด้วย (ตามจริงมานานละ แต่เพิ่งเห็น) กับมีงานที่ต้องนำไปใช้นิดหน่อย เนื่องจากทุกระบบงานก็มีการใช้งาน API (Application Programming Interface) อยู่แล้ว ไม่ว่าจะอยู่ในรูปแบบไหนทั้ง REST, Web API และ WebService เป็นต้น ยิ่งเปิดให้ใช้งานแบบ public ด้วยแล้ว (ไม่ว่าทางตรงหรือทางอ้อม) สิ่งที่สำคัญมาก ๆ คือ เรื่องของความปลอดภัยนั่นเอง
Read More…
เช้านี้นั่งอ่านบทความเรื่อง Scaling Appsec at Netflix เป็นอีกเรื่องที่สำคัญใน application ต่าง ๆ ของบริษัท หน้าที่หลัก ๆ ของเหล่า engineer คือสร้าง product ที่มีคุณค่าต่อลูกค้า แต่ถ้า application เหล่านั้นไม่ปลอดภัย ก็น่าจะเป็นปัญหาใหญ่ที่กระทบต่อ business ของบริษัทได้ ดังนั้นทาง Netflix จึงพยายามจัดการเรื่องนี้ให้ดี
Read More…
อ่านเอกสารเกี่ยวกับการสำรวจเรื่อง DevSecOps Community Surveyมีหลาย ๆ เรื่องที่น่าสนใจ เลยสรุปไว้ดูนิดหน่อย น่าจะมีประโยชน์สำหรับบริษัทที่เริ่มนำมาประยุกต์ใช้งาน เพื่อแก้ไขปัญหาและปรับปรุงการพัฒนาไปจนถึงส่งมอบระบบงานให้ดีขึ้น มาเริ่มกันเลย
Read More…
หลังจากที่ดู VDO จากงาน DevSecOps พบว่า มีหลาย ๆ เรื่องที่น่าสนใจ หนึ่งในนั้นคือ Effective DevSecOps ทำการอธิบายเรื่องของ Security ในบริบทของ Development และ Operation ไว้อย่างน่าสนใจ เลยนำมาสรุปไว้หน่อย
Read More…