23
Dec
Docker ปล่อย Docker Hardened Images (DHI) ให้ใช้ฟรีและเปิดซอร์ส ลด attack surface พร้อม SBOM และ provenance ใช้เป็นฐานสร้าง container ที่ปลอดภัยขึ้นได้ทันที...
Read More
DevSecOps Tag
17
Dec
ในวันที่ซอฟต์แวร์ถูกสร้างเร็วขึ้นกว่าเดิม ทั้งจากการพัฒนาแบบ Agile/CI-CD และการใช้เครื่องมือช่วยเขียนโค้ด สิ่งที่หลายทีมมัก “ตามแก้ทีหลัง” คือเรื่อง Data Privacy และ Security แต่ปัญหาคือ ข้อมูลรั่วไหลหรือการเข้าถึงที่ไม่เหมาะสมมักเกิดขึ้นตั้งแต่ชั้นโค้ด—และเมื่อไหลไปถึงระบบจริงแล้ว ต้นทุนในการตามล้างตามแก้จะสูงมาก ทั้งเวลา เงิน ชื่อเสียง และความเชื่อมั่นของลูกค้า มุมมองที่กำลังสำคัญขึ้นเรื่อย ๆ คือ “ทำให้ความปลอดภัยและความเป็นส่วนตัวเริ่มต้นที่โค้ด” หรือ shift-left นั่นหมายถึงการออกแบบและควบคุมความเสี่ยงตั้งแต่ตอนเขียนฟีเจอร์ ไม่ใช่รอให้มี Incident แล้วค่อยไล่ตามรอยว่าอะไรหลุดไปที่ไหนบ้าง Data Privacy และ Security ในโค้ด สำคัญกว่าที่คิด เพราะ “แก้ทีหลังแพงกว่าเสมอ” ความปลอดภัยของข้อมูลไม่ใช่เรื่องของทีม Security อย่างเดียว และไม่ใช่ “งานเอกสาร” ที่ทำตอนใกล้ปล่อยระบบ...
Read More
30
Nov
เหตุการณ์ล่าสุดที่ถูกเปิดเผยสร้างความตื่นตัวให้กับวงการซอฟต์แวร์และความมั่นคงปลอดภัยไซเบอร์ทั่วโลก เมื่อพบว่ากลุ่มแฮกเกอร์จากเกาหลีเหนือได้ปล่อยแพ็กเกจ npm ที่แฝงมัลแวร์ออกมาจำนวนมาก โดยมีการดาวน์โหลดรวมกันมากกว่า 31,000 ครั้งก่อนที่ความผิดปกติจะถูกตรวจจับ เหตุการณ์นี้เป็นสัญญาณเตือนอย่างชัดเจนว่า Software Supply Chain กำลังกลายเป็นหนึ่งในเป้าหมายสำคัญที่ผู้ไม่หวังดีใช้เป็นช่องทางในการแทรกซึมระบบขององค์กรทั่วโลก จากรายงานเผยว่าแฮกเกอร์ได้สร้างแพ็กเกจจำนวน 197 รายการบน npm Registry โดยแต่ละ Package ออกแบบให้เลียนแบบชื่อของไลบรารียอดนิยมเพื่อหลอกให้ผู้พัฒนาเข้าใจผิดและติดตั้งลงในโปรเจกต์ของตน ความอันตรายอยู่ที่เมื่อแพ็กเกจเหล่านี้ถูกติดตั้ง มัลแวร์จะเริ่มทำงานทันทีเพื่อดึงข้อมูลเครื่อง เหยื่อ รวมถึงข้อมูลรับรอง (credentials) ต่าง ๆ กลับไปยังเซิร์ฟเวอร์ควบคุมของผู้โจมตี กลไกการโจมตีและผลกระทบที่เกิดขึ้นจริง แพ็กเกจปลอมเหล่านี้ถูกสร้างขึ้นโดยตรวจจับได้ยาก โดยมีโค้ดที่ปลอมตัวเป็น utility ทั่วไปหรือ mock data library ที่นักพัฒนามักใช้งานเพื่อทดสอบระบบ แต่ภายในกลับซ่อนสคริปต์อันตรายที่ทำงานอัตโนมัติหลังการติดตั้ง ความสามารถของมัลแวร์เป็นไปในลักษณะรวบรวมข้อมูลระบบ เช่น เวอร์ชันระบบปฏิบัติการ ค่าคอนฟิกของผู้ใช้...
Read More
12
Nov
นักพัฒนาส่วนใหญ่เชื่อว่า “ถ้าตัวเองอ่านโค้ดเอง ก็ต้องเห็นของผิดปกติแน่” แต่กรณีล่าสุดของ GlassWorm กำลังพิสูจน์ตรงกันข้าม มัลแวร์ตัวนี้ซ่อนคำสั่งอันตรายไว้ในส่วนที่ “มองไม่เห็นด้วยตาเปล่า” แล้วไหลเข้ามาทางส่วนเสริมของ VS Code ก่อนแพร่ต่อเองแบบหนอน (self-propagating) ผลคือโค้ดที่คุณเขียนหรือรีวิวอยู่ อาจมีคำสั่งลับที่พร้อมดึงเพย์โหลดรุ่นถัดไป ขโมยครีเดนเชียลจากเครื่องนักพัฒนา และใช้เครื่องคุณเป็นฐานต่อเชื่อมไปทำร้ายผู้อื่นได้โดยที่ทีมไม่รู้ตัว GlassWorm คืออะไร และมันเข้าไปอยู่ในโค้ดได้อย่างไร GlassWorm เป็นแคมเปญมัลแวร์ที่มุ่งโจมตี Environment ของนักพัฒนา โดยเฉพาะ VS Code extensions ผ่านแหล่งกระจายอย่าง Open VSX Registry และ Microsoft Extension Marketplace การโจมตีคือการฝังคำสั่งที่ ซ่อนด้วยอักขระ Unicode ที่มองไม่เห็น ทำให้รีวิวโค้ดด้วยสายตาหรือผ่าน diff...
Read More
05
Apr
ลดความเสี่ยง (Reduced Risk) ป้องกันการเปิดเผยข้อมูลสำคัญโดยไม่ตั้งใจ ซึ่งจะช่วยลดความเสี่ยงในการเกิดช่องโหว่ด้านความปลอดภัย (security breaches) และการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต (unauthorized access) ยกระดับความปลอดภัย (Enhanced Security) ยกระดับความปลอดภัยให้กับระบบของคุณ โดยทำหน้าที่ตรวจหาข้อมูลสำคัญทีฝังอยู่ภายในโค้ด (embedded secrets your codebase) ซึ่งข้อมูลเหล่านี้มักเกี่ยวข้องกับการเข้าถึงระบบ การใช้งานฐานข้อมูล หรือการเชื่อมต่อกับบริการต่าง ๆ ปฎิบัติตามข้อกำหนด (Compliance) องค์กรของคุณปฎิบัติตามกฎระเบียบคุ้มครองข้อมูล (data protection regulations) และมาตรฐานอุตสาหกรรม (industry standards) โดยการรับประกันว่าข้อมูลสำคัญ (sensitive data) ถูกจัดการและป้องกันอย่างเหมาะสม เสริมสร้างความตระหนักด้านความปลอดภัยให้กับนักพัฒนา (Increased Developer Awareness) การนำ GuarRails ไปใช้ในกระบวนการพัฒนา จะช่วยยกระดับความตระหนักด้านการจัดการข้อมูลสำคัญ (secrets management) ให้กับนักพัฒนา...
Read More
30
May
SonarLint เครื่องมือสำหรับวิเคราะห์และตรวจสอบคุณภาพโค้ดที่ใช้งานร่วมกับแอปพลิเคชันพัฒนาภาษาโปรแกรมต่าง ๆ เช่น Java, C#, JavaScript, Python และอื่น ๆ SonarLint ทำหน้าที่วิเคราะห์โค้ดเพื่อค้นหาข้อผิดพลาดอย่างเป็นระบบ พร้อมแนะนำวิธีการแก้ไข เพื่อให้โค้ดมีคุณภาพสูง โดยใช้เทคนิค Static Code Analysis หรือการวิเคราะห์โค้ดแบบสถิต (ไม่ต้องรันโปรแกรม) ซึ่งมีประโยชน์ในการค้นหาข้อผิดพลาดที่เป็นไปได้ เช่น การใช้ตัวแปรที่ไม่ถูกต้องการตรวจสอบเงื่อนไขที่ไม่ครบถ้วนการใช้งานคำสั่งที่ไม่ถูกต้องปัญหาความปลอดภัยอื่น ๆ อ้างอิงจาก sonarlint ...
Read More
15
May
Taint Analysis คืออะไร ทำไม Security ต้องแคร์Taint analysis คือ กระบวนการใช้ information security framwork เพื่อหา flow ของ user input ที่อันตราย โดยต้องเข้าใจในการออกแบบระบบ หรือ software เช่น การ mitigate risk สำหรับ SQL injection ซึ่งโดยทั่วไปจะถูก attack จาก user input ที่ไม่ได้ควบคุมไว้ Taint analysis ช่วยวิเคราะห์ทุกๆ input และ header ของ...
Read More
27
Apr
วันศุกร์ที่ 21 เมษายน 2566 เวลา 15:00 น. Monster Connect ได้จัดกิจกรรม Webinar Online ในหัวข้อ "การประยุกต์ใช้ DevSecOps ในการพัฒนาระบบ และความปลอดภัย Code" บรรยายโดย นายสารินทร์ ปวงแก้ว (พี่ต้อ) - Senior Product Specialist, Monster Connect และ นายพิชญพงศ์ ไกรศาสตรา (น้องบูม) - Enterprise Application Analyst, Monster Connect ...
Read More