ว่าง ๆ มาดูกันหน่อยว่า มีเครื่องมืออะไรที่น่าสนใจสำหรับการ scan code ทางด้าน security ที่นักพัฒนาสามารถนำมาใช้ได้ง่าย ๆเพื่อช่วยเพิ่มความมั่นใจในการพัฒนาระบบมากยิ่งขึ้นรวมทั้งการใช้งานไม่ยากสามารถนำมาใช้กับ developer workflow ได้ง่ายและได้รับ feedback ที่รวดเร็วเพื่อช่วยให้ปรับปรุงได้อย่างรวดเร็วขึ้น (Learning process)
อ่านเอกสาร NodeJS Docker Cheatsheet จาก OWASP ทำการอธิบายถึงการใช้งาน Docker กับระบบที่พัฒนาด้วย NodeJS ไว้ว่าควรต้องทำอย่างไรบ้างเพื่อให้ปลอดภัยมากยิ่งขึ้น
ไปเจอเครื่องมือชื่อว่า cosignสำหรับการ Signed Image แบบง่าย ๆ เพื่อเพิ่มความปลอดภัยในการใช้งาน Container Imageโดยไม่ต้องแก้ไขหรือเพิ่ม configuration อะไร
วันนี้ดู Tweet เรื่อง การวิเคราะห์ต้นเหตุปัญหาของ API ของ ClubHouse ที่โดนโจมตียกตัวอย่างเช่น ผู้ใช้งานหนึ่งคนสามารถทำการเปิดและเข้าห้อง stream ได้มากกว่า 1 ห้องโดยใช้งานผ่าน web browser ได้เลยซึ่งแน่นอนว่า มันขัดแย้งกับ terms of service อย่างแรง
สำหรับสาย Node.JS เรื่องของ dependency check เป็นสิ่งที่สำคัญมาก ๆ ว่า dependency หรือ npm package ต่าง ๆ ที่เราใช้งานใน project นั้น มีความปลอดภัยหรือไม่ โดย extension ที่ขอแนะนำใน VS Code คือ Vuln Cost
จากปัญหาเรื่อง security ของ Zoom เป็นโปรแกรมสำหรับประชุม online ที่ได้รับความนิยม ทำให้หลาย ๆ บริษัท หรือหลายประเทศประกาศห้ามใช้งาน โดยที่ทาง Zoom ก็ได้ประกาศหยุดเพิ่ม feature และมาแก้ไขปัญหาช่องโหว่ต่าง ๆ อย่างเร่งด่วน
ไปเจอว่า OWASP นั้นเพิ่มเรื่องของ API Security มาด้วย (ตามจริงมานานละ แต่เพิ่งเห็น) กับมีงานที่ต้องนำไปใช้นิดหน่อย เนื่องจากทุกระบบงานก็มีการใช้งาน API (Application Programming Interface) อยู่แล้ว ไม่ว่าจะอยู่ในรูปแบบไหนทั้ง REST, Web API และ WebService เป็นต้น ยิ่งเปิดให้ใช้งานแบบ public ด้วยแล้ว (ไม่ว่าทางตรงหรือทางอ้อม) สิ่งที่สำคัญมาก ๆ คือ เรื่องของความปลอดภัยนั่นเอง
เพิ่งเห็นว่าทาง OWASP (Open Web Application Security Project) ได้ปล่อยหนังสือเกี่ยวกับ Web Application Secure Coding Practice ด้วยภาษา Go ออกมา โดยเนื้อหายังรวมไปถึงการพัฒนา web application ด้วย ดังนี้
เรื่องของ Docker นั้นน่าจะเป็นสิ่งที่ทุกองค์กรต้องมีความรู้อยู่แล้วทำให้ปัญหาที่ตามมาเยอะขึ้นคือ Security หรือความปลอดภัย แน่นอนว่า โลกของ container นั้นยังใหม่ ทำให้มีช่องโหว่ให้โจมตีเยอะเลย ส่งผลให้เกิดเครื่องมือต่าง ๆ ด้วย security ขึ้นมาเพียบ หนึ่งในนั้นคือ Vulnerablecontainers.org
เช้านี้นั่งอ่านบทความเรื่อง Scaling Appsec at Netflix เป็นอีกเรื่องที่สำคัญใน application ต่าง ๆ ของบริษัท หน้าที่หลัก ๆ ของเหล่า engineer คือสร้าง product ที่มีคุณค่าต่อลูกค้า แต่ถ้า application เหล่านั้นไม่ปลอดภัย ก็น่าจะเป็นปัญหาใหญ่ที่กระทบต่อ business ของบริษัทได้ ดังนั้นทาง Netflix จึงพยายามจัดการเรื่องนี้ให้ดี
