PlusMagi's Blog By Pitt Phunsanit

DevSecOps: (Development + Security + Operations)

DevSecOps (Development + Security + Operations) คือการยกระดับขึ้นมาจาก DevOps อีกขั้นครับ โดยการนำเรื่อง “Security (ความปลอดภัย)” เข้าไปหลอมรวมเป็นเนื้อเดียวกันในทุก ๆ ขั้นตอนของกระบวนการพัฒนาซอฟต์แวร์ ตั้งแต่วันแรกที่เริ่มเขียนโค้ด ไม่ใช่รอให้ระบบทำเสร็จแล้วค่อยส่งให้ทีม Security ตรวจสอบแบบสมัยก่อน

แนวคิดหลักของ DevSecOps คือคำว่า “Shift Left” หมายถึงการย้ายกระบวนการตรวจสอบความปลอดภัยจากเดิมที่อยู่ขวาสุด (ขั้นตอนสุดท้ายก่อนเอาขึ้น Production) มาอยู่ด้านซ้ายสุด (ตั้งแต่เริ่มคิดและเขียนโค้ด) เพื่อให้เจอช่องโหว่เร็วที่สุด เพราะยิ่งเจอเร็ว ค่าใช้จ่ายและเวลาในการแก้ไขก็จะยิ่งน้อยลงครับ


สิ่งที่ DevSecOps ทำในแต่ละขั้นตอน (CI/CD Pipeline)

เมื่อใส่ Security เข้าไปในระบบอัตโนมัติ (Automated Pipeline) สิ่งที่เกิดขึ้นในแต่ละสถานีจะมีดังนี้ครับ

ขั้นตอนการวางแผนและเขียนโค้ด (Plan & Code)


ขั้นตอนการสร้างและทดสอบ (Build & Test)


ขั้นตอนการติดตั้งและใช้งาน (Deploy & Run)


ขั้นตอนการเฝ้าระวัง (Monitor & Respond)


ตารางเปรียบเทียบ: DevOps vs DevSecOps

หัวข้อDevOpsDevSecOps
เป้าหมายหลักความเร็ว (Speed) และความเสถียร (Agility)ความเร็วที่มาพร้อมกับความปลอดภัย (Secure Speed)
ความรับผิดชอบทีม Dev + ทีม Opsทุกคนในทีม (Dev + Sec + Ops)
การตรวจ Securityทำตอนท้ายสุดก่อน Deploy หรือทำเป็นรอบปีทำโดยอัตโนมัติในทุก ๆ ลูปการ Push โค้ด
ผลลัพธ์ปล่อยฟีเจอร์ได้เร็ว แต่อาจมีช่องโหว่หลุดไปปล่อยฟีเจอร์ได้เร็ว และมั่นใจว่าผ่านเกณฑ์ความปลอดภัยขั้นต่ำ

สรุป

DevSecOps ไม่ใช่การตั้งทีมใหม่ขึ้นมาขัดขวางไม่ให้ Dev ปล่อยงาน แต่เป็นการ “สร้างระบบอัตโนมัติให้ช่วยตรวจความปลอดภัยแทนคน” เพื่อให้ Developer สามารถปล่อยงานได้เร็วเท่าเดิม โดยที่มีเกราะป้องกันที่แน่นหนาขึ้นตั้งแต่ต้นทางครับ


อ่านเพิ่มเติม

Exit mobile version