devsecops

ยกระดับ Development Life Cycle ในองค์กรด้วย DevSecOps

admin

12 Jun 2022 | 1 นาทีอ่าน

DevSecOps คืออะไร วันนี้ Talance เราจะมาเล่าให้ทุกคนฟัง ! ในปี 2022 Cyber security ยังคงเป็นสิ่งที่สำคัญอย่างมากต่อองค์กร ไม่ว่าจะภาครัฐหรือเอกชน เพราะว่าข้อมูลที่องค์กรมีล้วนเป็นข้อมูลที่สำคัญ ทั้งข้อมูลส่วนบุคคล ข้อมูลทางการเงินหรือข้อมูลระดับประเทศ เราจึงต้องให้ความสำคัญกับ Security เพื่อไม่ให้ข้อมูลเหล่านั้นถูกโจมตีจากกลุ่ม Hacker ซึ่งทำให้เทรนด์ใหม่ที่เรียกว่า DevSecOps ขึ้นมา 

DevSecOps คืออะไร?

DevSecOps คือ การทำงานที่ให้ความสำคัญกับฝ่าย Security Team ที่เพิ่มเข้ามา และทำการแทรกกระบวนการ Security เข้าไปทุกส่วน ซึ่งจะโฟกัสไปที่การร่วมมือกันระหว่าง Development Team, Security Team, และ Operation Team เพื่อให้เอางานขึ้น Production ให้เร็วที่สุด รวมถึงส่งมอบงานที่มีคุณภาพและมีปลอดภัยให้ได้อย่างต่อเนื่องเป็นระบบ ภายใต้วงจรการทำงานแบบ Development life cycle 

DevSecOps คืออะไร?
ที่มา: Dynatrace

โดยการที่เรานำการทำงานแบบนี้เข้ามาเป็นส่วนหนึ่งของ Development life cycle จะช่วยยกระดับและเพิ่มประสิทธิภาพการทำงาน รวมถึงความปลอดภัยในแต่ละขั้นตอนมากขึ้น

DevSecOps แตกต่างกับ DevOps อย่างไร 

พอพูดถึง DevSecOps แล้ว หลาย ๆ คนคงนึกถึง DevOps และเกิดข้อสงสัยขึ้นมาว่าทั้ง 2 อย่างนี้มันเหมือนกันต่างกันยังไง วันนี้ Talance เราทำสรุปข้อมูลจาก redhat ถ้าพร้อมแล้วไปเริ่มทำความเข้าใจกันเลย

DevOps คือ การร่วมกันระหว่างฝ่าย Development Team และ Operations Team เพื่อเพิ่มประสิทธิภาพในการทำงาน และความสามารถขององค์กรในการส่ง Production ออกสู่ตลาดได้อย่างรวดเร็ว และปลอดภัย 

ส่วน DevSecOps จะเพิ่มในส่วนของ Security เข้าไป พูดง่ายๆ คือ จาก DevOps Tools เดิมที่เราทำไว้แล้ว เราก็เพิ่ม Security Practice เข้าไปให้มันสมบูรณ์ยิ่งขึ้น โดยการนำ 3 ส่วนนี้มารวมกัน จะช่วยป้องกันการโจมตีของ Attacker หรือ Hacker ได้เป็นอย่างมีประสิทธิภาพ ทั้งยังช่วยส่งเสริมการทำงานร่วมกันของทีมให้มีความเป็น Automation มากขึ้น 

หลายคนอาจสงสัยว่าทำไมต้องมี DevSecOps เพิ่มเข้ามาเพราะว่า DevOps ก็มีตรงส่วนของ Security อยู่แล้วนี่นา จริง ๆ มันก็ถูกครึ่งนึง แต่ส่วน Security ของ DevOps ที่ Development Team ต้องรับหน้าที่อยู่แล้วก็คือเรื่อง Secure Design และ Secure Coding ซึ่งเป็น Practice พื้นฐานที่เราต้องทำก่อนที่จะส่งให้กับฝั่ง Operation Team โดยฝ่ายนี้จะทำเกี่ยวกับการทำ Hardening หรือ Secure Deployment Process ก่อนนำงานขึ้น Production

อีกข้อแตกต่างของระหว่าง 2 อย่างนี้ก็คือ การทำงานของ DevSecOps จะมีความรวดเร็วมากกว่า DevOps เพราะมีฝ่าย Sec Team แทรกเข้ามาจึงทำให้สามารถ Feedback และแก้ไขปัญหากันได้ทันทีในทุกขั้นตอนโดยไม่ต้องรอให้เกิดปัญหาบน Production แล้วค่อยกลับมาแก้กันในภายหลัง ในขณะที่  DevOps จะมีความล่าช้ากว่า DevSecOps เนื่องจากจะต้องส่ง Feedback กลับไปกลับมาระหว่าง Dev Team และ Ops Team แถมยังอาจทำให้เกิดช่องโหว่ให้กลุ่ม Hacker เข้ามาโจมตีได้

แล้วทำไมถึงสำคัญ?

Digital transformation นั้นเข้ามามีบทบาทกับองค์กรต่าง ๆ มากขึ้น แน่นอนว่าความเปลี่ยนแปลงเหล่านี้ส่งผลดีให้กับองค์กรได้อย่างต่อเนื่อง แต่เชื่อหรือไม่ว่าสิ่งเหล่านี้ก็สร้างปัญหาด้าน Security ขึ้นมาได้พร้อม ๆ กัน Trasformation หลัก ๆ ที่สร้างผลกระทบด้านความปลอดภัยนั้นมีอยู่ 3 อย่าง

1. การใช้ Software มากขึ้น

สิ่งสำคัญในกระบวนการ Digital transformation นั้น แน่นอนว่าจะหลีกเลี่ยงการใช้ Software ไม่ได้เลย และเมื่อองค์กรพากันนำ Software มาใช้มากขึ้น นั่นก็หมายความว่าข้อมูลต่าง ๆ ที่สำคัญก็จะถูกโยกย้ายและเปลี่ยนแปลงให้กลายเป็นดิจิทัลมากยิ่งขึ้น ซึ่งมันก็เป็นผลดีกับทางบริษัทแหละ แต่ในขณะเดียวกันพวก Hacker เองก็รอคอยที่จะเจาะเข้ามาเพื่อขโมยข้อมูลเหล่านี้ไปใช้ประโยชน์เช่นเดียวกัน เพราะฉะนั้นถ้าไม่คอยระวังให้ดี บอกได้เลยว่าเสร็จโจรแน่ ๆ

2. การนำ Cloud technology เข้ามาใช้

อีกหนึ่งสิ่งที่องค์กรยุคใหม่ชอบกันมาก ๆ คือ Cloud technology ที่ทำให้ Workflow ในองค์กรสะดวกรวดเร็วขึ้น ทั้งยังสร้างภาพลักษณ์ที่ดีให้กับองค์กรอีกด้วย อย่างไรก็ตามการใช้ Cloud technology จะทำให้เกิดการรวบรวมข้อมูลต่าง ๆ มาไว้ในที่เดียวกันและสามารถแชร์กับคนจำนวนมากได้ ทำให้ข้อมูลที่ถูกเก็บไว้ในคลาวด์มีความเสี่ยงที่จะหลุดออกไปได้ง่ายมาก ๆ เช่นกัน

3. ปรับปรุง Development life cycle ด้วย DevOps เพื่อความรวดเร็ว

DevOps นั้นเกิดขึ้นมาเพื่อตอบโจทย์ด้านความรวดเร็ว เพราะ DevOps นั้นคือการรวมขั้นตอน Development กับ Operation เข้าด้วยกัน องค์กรจึงนำ DevOps เข้ามาใช้ใน Development life cycle มากขึ้น ทำให้สามารถสร้าง Product ได้เป็นจำนวนมากในเวลาสั้น ๆ แต่ถึงอย่างนั้น Security ก็ยังถูกแบ่งออกเป็นทีมแยก และนำมาใช้ในขั้นตอนสุดท้ายของการสร้าง Product อีกด้วย ทำให้กว่าจะมาถึงมือทีม Security ชิ้นงานหลาย ๆ ชิ้นที่สร้างขึ้นมาอาจจะถูกโจมตีหรือสอดส่องแล้วก็ได้ กระบวนการทำงานใน Development life cycle จึงยังไม่ตอบโจทย์ด้านความไม่ปลอดภัย และยิ่งทำให้เสี่ยงต่อการรั่วไหลของข้อมูลมากขึ้นด้วย

ทั้ง 3 ปัจจัยที่ว่ามานี้ทำให้เกิดความเสี่ยงต่อการเกิดอาชญากรรมไซเบอร์เป็นอย่างมาก เพราะข้อมูลที่ถูกโหลดเข้ามาให้อยู่ในฟอร์มของดิจิทัลมีมากขึ้นเรื่อย ๆ แต่มันกลับไม่รองรับการทำงานของกระบวนการ Security เลย

ดังนั้น การทำงานในรูปแบบที่ให้ความสำคัญกับความปลอดภัยในทุกขั้นตอนของ Development life cycle จึงทำให้ทุกขั้นตอนของการสร้างสรรค์ชิ้นงานมีความปลอดภัยสูงมากชนิดที่เรียกได้ว่าแทบจะไม่เปิดช่องโหว่ให้ใครเข้ามาส่องเลยทีเดียว นับว่าเป็นนวัตกรรมใหม่ที่สามารถยกระดับ Development life cycle ให้กับองค์กรได้อย่างเห็นผลจริง ๆ

หลักการ 4 ข้อที่สำคัญของการทำ DevSecOps 

เราต้องเข้าใจก่อนว่า DevSecOps มันไม่ใช่แค่วิธีการแต่มันควรจะเป็น Culture หรือ Mindset มากกว่า เมื่อทุกคนให้ความสำคัญในสิ่งนั้นๆเหมือนกัน มันถึงจะแสดงประสิทธิภาพได้อย่างที่มันควรจะเป็น โดยมีหลักการ 4 ข้อดังนี้

1. Remove

การลบและทลายกำแพงที่ขวางการทำงานระหว่างทีมที่เคยมีในแนวคิด DevOps เดิม และเปลี่ยนเป็นการทำงานร่วมกันตั้งแต่ขั้นตอนแรกจนถึงขั้นตอนสุดท้าย

2. Shorten

ลดขั้นตอนการกลับไปกลับมาในกระบวนการพัฒนาซอฟต์แวร์ การที่เราแทรก Security Team ไประหว่าง Development Team และ Operation Team นอกจากจะลดขั้นตอนการส่ง feedback ไปมาระหว่างทีม มันยังเป็นการเพิ่มความปลอดภัยไปต่อข้อมูลที่สำคัญของเราอีกด้วย

3. Faster 

เพิ่มประสิทธิภาพในการทำงานให้การพัฒนาซอฟต์แวร์ทำได้รวดเร็วยิ่งขึ้น สามารถ Feedback และแก้ไขปัญหากันได้ทันทีในทุกขั้นตอนโดยไม่ต้องรอให้เกิดปัญหาบน Production แล้วค่อยกลับมาแก้กันในภายหลัง 

4. Secure

การให้ความสำคัญกับความปลอดภัย โดยมีหัวใจสำคัญอยู่ที่คำว่า Security in Every Step กล่าวคือทุกขั้นตอนตั้งแต่วันแรกของการพัฒนาจะต้องมีหลักคิดและวิธีการทางด้าน Cybersecurity เข้ามาเกี่ยวข้องเสมอ

สรุป

แม้ว่าการทำงานในรูปแบบนี้อาจจะรู้สึกเหมือนเป็นเรื่องไกลตัว แต่ถ้าเรามาคิดกันดูดี ๆ ความปลอดภัยของข้อมูลต่าง ๆ ในระบบของเรานั้น เป็นสิ่งสำคัญที่ควรจะดูแลรักษาเอาไว้ให้ดี เพราะถ้าเกิดเหตุรั่วไหลออกไปผลกระทบก็จะกลับมากที่องค์กรของเราเอง ดังนั้น DevSecOps จึงเป็นกระบวนการหนึ่งที่จะช่วยสร้าง Cyber Security และยกระดับ Development life cycle ได้อย่างยั่งยืน

Leave a Reply

Your email address will not be published. Required fields are marked *

บทความที่เกี่ยวข้อง

ตอบคำถามที่ HR ควรรู้ Employer Branding คืออะไร ? ทำแล้วได้อะไรบ้าง ?

ตลาดการจ้างงานในปัจจุบันกำลังเข้าสู่สภาวะวิกฤต เนื่องจากพนักงานหลายคนต่างพากันลาออกจนเกิดการ Turnover Rate ซึ่งถือเป็นเร

Jo

06 Feb 2024 | 1 นาทีอ่าน
ปัจจัยที่พนักงานลาออก

ปัจจัยที่ทำให้คนเก่งลาออกสูง!พร้อมแนวทางรักษาบุคลากร

ปัจจุบันอาชีพสาย IT เป็นอาชีพที่มีความต้องการสูงสวนกระแสการ Layoff พนักงาน โดยมีสถิติต่างๆที่น่าสนใจดังนี้:  

Jo

27 Jul 2023 | 1 นาทีอ่าน
Why must be Data-Driven Organization

ทำไมองค์กรยุคใหม่ต้องเป็น Data-Driven Organization และมีความสําคัญอย่างไร

ในยุคที่ดิจิทัลเติบโตและเกิดความเปลี่ยนแปลงไปอย่างรวดเร็ว การมีข้อมูลที่แม่นยำเพื่อการตัดสินใจที่ถูกต้องจึงเป็นสิ่งสำคัญ

Jo

26 May 2023 | 1 นาทีอ่าน
How to use digital technology

รู้จักใช้ Digital Technology ถ้าอยากให้ธุรกิจชนะคู่แข่ง

พฤติกรรมของลูกค้ากำลังเปลี่ยนแปลงไปในทุกวัน จากการค้นหาและการแชร์ข้อมูลสู่การซื้อผลิตภัณฑ์ ซึ่งพฤติกรรมเหล่านี้ ทำให้บริ

Jo

12 Mar 2023 | 1 นาทีอ่าน

How To Be Scalable Software House

หากคิดถึงการเติบโตของธุรกิจ คงหนีไม่พ้นแนวคิดการ Scaleup Business ซึ่งเป็นแนวคิดขั้นพื้นฐานที่บริษัทด้าน Technology หรือ