สำหรับสาย Node.JS เรื่องของ dependency check เป็นสิ่งที่สำคัญมาก ๆ ว่า dependency หรือ npm package ต่าง ๆ ที่เราใช้งานใน project นั้น มีความปลอดภัยหรือไม่ โดย extension ที่ขอแนะนำใน VS Code คือ Vuln Cost
security Archive
สรุปจากบทความเรื่อง How to Protect Your Virtual Meetings from Zoombombing
จากปัญหาเรื่อง security ของ Zoom เป็นโปรแกรมสำหรับประชุม online ที่ได้รับความนิยม ทำให้หลาย ๆ บริษัท หรือหลายประเทศประกาศห้ามใช้งาน โดยที่ทาง Zoom ก็ได้ประกาศหยุดเพิ่ม feature และมาแก้ไขปัญหาช่องโหว่ต่าง ๆ อย่างเร่งด่วน
เก็บมาแบ่งปันเรื่อง OWASP API Security Top 10 ปี 2019
ไปเจอว่า OWASP นั้นเพิ่มเรื่องของ API Security มาด้วย (ตามจริงมานานละ แต่เพิ่งเห็น) กับมีงานที่ต้องนำไปใช้นิดหน่อย เนื่องจากทุกระบบงานก็มีการใช้งาน API (Application Programming Interface) อยู่แล้ว ไม่ว่าจะอยู่ในรูปแบบไหนทั้ง REST, Web API และ WebService เป็นต้น ยิ่งเปิดให้ใช้งานแบบ public ด้วยแล้ว (ไม่ว่าทางตรงหรือทางอ้อม) สิ่งที่สำคัญมาก ๆ คือ เรื่องของความปลอดภัยนั่นเอง
หนังสือแนะนำการเขียน code ด้วยภาษา Go ให้ปลอดภัยจาก OWASP
เพิ่งเห็นว่าทาง OWASP (Open Web Application Security Project) ได้ปล่อยหนังสือเกี่ยวกับ Web Application Secure Coding Practice ด้วยภาษา Go ออกมา โดยเนื้อหายังรวมไปถึงการพัฒนา web application ด้วย ดังนี้
แนะนำ VulnerableContainers.org เพื่อตรวจสอบความปลอดภัยของ Docker Container
เรื่องของ Docker นั้นน่าจะเป็นสิ่งที่ทุกองค์กรต้องมีความรู้อยู่แล้วทำให้ปัญหาที่ตามมาเยอะขึ้นคือ Security หรือความปลอดภัย แน่นอนว่า โลกของ container นั้นยังใหม่ ทำให้มีช่องโหว่ให้โจมตีเยอะเลย ส่งผลให้เกิดเครื่องมือต่าง ๆ ด้วย security ขึ้นมาเพียบ หนึ่งในนั้นคือ Vulnerablecontainers.org
สรุปการจัดการเรื่อง Application Security ของ Netflix
เช้านี้นั่งอ่านบทความเรื่อง Scaling Appsec at Netflix เป็นอีกเรื่องที่สำคัญใน application ต่าง ๆ ของบริษัท หน้าที่หลัก ๆ ของเหล่า engineer คือสร้าง product ที่มีคุณค่าต่อลูกค้า แต่ถ้า application เหล่านั้นไม่ปลอดภัย ก็น่าจะเป็นปัญหาใหญ่ที่กระทบต่อ business ของบริษัทได้ ดังนั้นทาง Netflix จึงพยายามจัดการเรื่องนี้ให้ดี
code ที่นักพัฒนาเขียนขึ้นมานั้น S.A.F.E ไหมนะ ?
สิ่งที่นักพัฒนา software ควรต้องรู้และเข้าใจสำหรับ code ที่เขียนคือ code ที่เขียนขึ้นมานั้นปลอดภัยหรือไม่ ? แน่นอนว่า นักพัฒนาบางคนอาจจะบอกว่า แค่เขียน code ให้เสร็จตามเวลาก็ถือว่าดีแล้ว ส่วนเรื่องของ security ไม่ใช่หน้าที่ ให้ทางฝ่าย security ดูเองก็แล้วกัน ถ้ามีเจอปัญหาอะไรก็แจ้งมา เดี๋ยวแก้ไขให้ !!
ว่าด้วยเรื่อง Agile Security Manifesto
อ่านเจอเอกสารเกี่ยวกับ Agile Security Manifesto เห็นว่าน่าสนใจดี จึงนำมาแปลและสรุปไว้นิดหน่อย มีอยู่ 4 ข้อเท่ากับ Agile เลย เป็นแนวทางสำหรับการสร้าง software ที่มีความปลอดภัย ตามแนวทางของ Agile ดังนี้
เรื่องหนึ่งที่สำคัญใน OWASP Top 10-2017 RC 1 คือ What’s Next for Security Testing ?
นั่งอ่านเอกสาร OWASP Top 10 – 2017 RC 1 แล้ว พบว่ามีทั้งการเพิ่มและการลบออกไปจากของปี 2013 นิดหน่อย แต่มันกลับไปคล้ายกับปี 2003 มาก ๆ ซึ่งรายละเอียดลองไปอ่านกันดูนะครับ โดย Top 10 ที่ออกมานั้น มันสะท้อนถึงการพัฒนา software สมัยใหม่ ๆ ที่มีการพัฒนาที่รวดเร็วขึ้นกว่าเดิมเป็นอย่างมาก ๆ โดยเฉพาะการพัฒนา APIs ต่าง ๆ ที่ระบบใหม่นิยมทำกัน แต่สิ่งที่มักจะขาดหรือละเลยไปคือ ความใส่ใจเรื่องความปลอดภัย !!
แนะนำการพัฒนา Android app ให้ปลอดภัยมากขึ้น
จากเอกสารเรื่อง Best Practice for Security and Privacy ได้อธิบายแนวปฏิบัติต่าง ๆ สำหรับการพัฒนา Android app ให้ปลอดภัย ประกอบไปด้วยเรื่องที่น่าสนใจดังนี้ Networking Intent Data storage เรื่องอื่น ๆ เช่น Emulator, Debug, Root, Obfuscation เป็นต้น ดังนั้นจึงทำการสรุปไว้นิดหน่อย ปล. มี Android developer คนไหนอ่านและศึกษากันบ้างนะ