This is the Trace Id: b90380f3f9dbd616a1179b745534b0ef
ข้ามไปที่เนื้อหาหลัก ทำไมต้องใช้ Microsoft Security การรักษาความปลอดภัยทางไซเบอร์ที่ขับเคลื่อนโดย AI การรักษาความปลอดภัยของระบบคลาวด์ ความปลอดภัยและการกำกับดูแลข้อมูล การเข้าถึงข้อมูลประจำตัวและเครือข่าย ความเป็นส่วนตัวและการจัดการความเสี่ยง ความปลอดภัยสำหรับ AI SecOps แบบรวม Zero Trust Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel Microsoft Security Copilot Microsoft Entra ID (Azure Active Directory) ID เอเจนต์ของ Microsoft Entra Microsoft Entra External ID Microsoft Entra ID Governance Microsoft Entra ID Protection Microsoft Entra Internet Access Microsoft Entra Private Access Microsoft Entra Permissions Management Microsoft Entra Verified ID Microsoft Entra Workload ID Microsoft Entra Domain Services Azure Key Vault Microsoft Sentinel Microsoft Defender for Cloud Microsoft Defender XDR Microsoft Defender for Endpoint Microsoft Defender for Office 365 Microsoft Defender for Identity Microsoft Defender for Cloud Apps การจัดการความเสี่ยงของ Microsoft Security การจัดการช่องโหว่ของ Microsoft Defender Microsoft Defender Threat Intelligence ชุดโปรแกรม Microsoft Defender สำหรับ Business Premium Microsoft Defender for Cloud การจัดการเสถียรภาพการรักษาความปลอดภัยในคลาวด์ของ Microsoft Defender การจัดการพื้นหน้าของการโจมตีภายนอกของ Microsoft Defender การรักษาความปลอดภัยขั้นสูงของ GitHub Microsoft Defender for Endpoint Microsoft Defender XDR Microsoft Defender for Business ความสามารถหลักของ Microsoft Intune Microsoft Defender for IoT การจัดการช่องโหว่ของ Microsoft Defender Microsoft Intune Advanced Analytics Microsoft Intune Endpoint Privilege Management การจัดการแอปพลิเคชันองค์กรของ Microsoft Intune ความช่วยเหลือระยะไกลของ Microsoft Intune Microsoft Cloud PKI การปฏิบัติตามข้อบังคับด้านการสื่อสารของ Microsoft Purview ตัวจัดการการปฏิบัติตามข้อบังคับของ Microsoft Purview การจัดการวงจรชีวิตข้อมูลของ Microsoft Purview Microsoft Purview eDiscovery Microsoft Purview Audit การจัดการความเป็นส่วนตัวของ Microsoft Priva คำขอสิทธิ์ของเจ้าของข้อมูลของ Microsoft Priva การกำกับดูแลข้อมูลของ Microsoft Purview ชุดโปรแกรม Microsoft Purview สำหรับ Business Premium ความสามารถในการรักษาความปลอดภัยของข้อมูลของ Microsoft Purview การกำหนดราคา บริการ คู่ค้า การตระหนักรู้การรักษาความปลอดภัยทางไซเบอร์ เรื่องราวของลูกค้า ความปลอดภัย 101 รุ่นทดลองใช้ของผลิตภัณฑ์ การรับรองจากอุตสาหกรรม Microsoft Security Insider รายงานการป้องกันดิจิทัลของ Microsoft Security Response Center บล็อก Microsoft Security กิจกรรม Microsoft Security Microsoft Tech Community คู่มือ ไลบรารีเนื้อหาด้านเทคนิค การฝึกอบรมและใบรับรอง โครงการปฏิบัติตามข้อบังคับสำหรับ Microsoft Cloud ศูนย์ความเชื่อถือของ Microsoft Service Trust Portal Microsoft Secure Future Initiative ฮับโซลูชันทางธุรกิจ ติดต่อฝ่ายขาย เริ่มใช้รุ่นทดลองใช้ฟรี Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space ความเป็นจริงผสม Microsoft HoloLens Microsoft Viva การคำนวณควอนตัม ความยั่งยืน การศึกษา ยานยนต์ บริการทางการเงิน ภาครัฐ การบริการสุขภาพ การผลิต การค้าปลีก ค้นหาคู่ค้า เป็นคู่ค้า เครือข่ายคู่ค้า Microsoft Marketplace Marketplace Rewards บริษัทพัฒนาซอฟต์แวร์ บล็อก Microsoft Advertising ศูนย์นักพัฒนา คู่มือ กิจกรรม การอนุญาตให้ใช้สิทธิ์ Microsoft Learn Microsoft Research ดูแผนผังเว็บไซต์

DevSecOps คืออะไร

เรียนรู้วิธีการผสานรวมแนวทางปฏิบัติด้านความปลอดภัยเข้าไปในทุกขั้นของวงจรชีวิตการพัฒนาซอฟต์แวร์ทั่วทั้งสภาพแวดล้อมแบบมัลติคลาวด์ของคุณ

พบกับ Microsoft Defender for DevOps

คำจำกัดความของ DevSecOps

DevSecOps ซึ่งย่อมาจาก Development (การพัฒนา), Security (การรักษาความปลอดภัย) และ Operations (การปฏิบัติการ) คือเฟรมเวิร์กที่ผสานรวมการรักษาความปลอดภัยเข้าไปในทุกขั้นของวงจรชีวิตการพัฒนาซอฟต์แวร์ องค์กรต่างๆ รับเอาแนวทางนี้มาใช้เพื่อลดความเสี่ยงของการเผยแพร่โค้ดที่มีช่องโหว่ด้านความปลอดภัย โดยทีมงานจะแบ่งความรับผิดชอบเรื่องความปลอดภัยผ่านการทำงานร่วมกัน ระบบอัตโนมัติ และกระบวนการที่ชัดเจน แทนที่จะปล่อยทิ้งไว้จนกระทั่งปัญหากลายเป็นเรื่องยากขึ้นและต้องเสียค่าใช้จ่ายสูงในการจัดการ DevSecOps เป็นคอมโพเนนต์ที่สำคัญอย่างยิ่งของกลยุทธ์การรักษาความปลอดภัยแบบมัลติคลาวด์

DevSecOps เทียบกับ DevOps

ในการพัฒนาซอฟต์แวร์แบบดั้งเดิมนั้น โครงการจะถูกแบ่งออกเป็นขั้นที่เฉพาะเจาะจงสำหรับการวางแผน การออกแบบ การพัฒนา การผสานรวม และการทดสอบ ซึ่งจะเกิดขึ้นตามลำดับตลอดช่วงเวลาหลายเดือนหรือแม้กระทั่งหลายปี แม้จะมีความเป็นระบบสูง แต่องค์กรหลายแห่งก็พบว่าแนวทางนี้ช้าเกินไป ส่งผลให้ยากต่อการตอบสนองความคาดหวังของลูกค้าที่ต้องการให้มีการปรับปรุงผลิตภัณฑ์อย่างต่อเนื่อง นอกจากนี้ โดยปกติแล้ว การรักษาความปลอดภัยจะถูกเพิ่มเข้าไปในตอนท้ายสุด ซึ่งทำให้บริษัทตกอยู่ในความเสี่ยงที่จะถูกเจาะระบบความปลอดภัย

เพื่อคงความสามารถในการแข่งขัน บริษัทจำนวนมากได้รับเอาโมเดล DevOps มาใช้ซึ่งให้ความสำคัญกับการส่งมอบโค้ดคุณภาพสูงเป็นแพคเก็ตขนาดเล็ก แทนที่จะเป็นโครงการที่ประกอบด้วยฟีเจอร์มากมายซึ่งใช้เวลานานกว่า ในเฟรมเวิร์กนี้ ทีมงานฝ่ายการพัฒนาซอฟต์แวร์และการปฏิบัติการจะทำงานร่วมกันเพื่อรวมการทดสอบและการผสานรวมเข้าด้วยกันตลอดกระบวนการ ระบบอัตโนมัติ กระบวนการที่เป็นมาตรฐาน และการทำงานร่วมกันช่วยให้ทีมงานเดินหน้าได้อย่างรวดเร็วโดยไม่ต้องลดทอนคุณภาพ

DevSecOps คือการยกระดับจาก DevOps ที่ใส่การรักษาความปลอดภัยเข้าไปในทุกแง่มุมของกระบวนการ โดยมีเป้าหมายเป็นการจัดการกับปัญหาด้านความปลอดภัยตั้งแต่ช่วงแรกเริ่มของโครงการ ในเฟรมเวิร์กนี้ ทีมงานทั้งทีมไม่เพียงรับผิดชอบเรื่องการประกันคุณภาพและการผสานรวมโค้ด แต่ยังต้องดูแลเรื่องการรักษาความปลอดภัยอีกด้วย ในทางปฏิบัติแล้ว นั่นหมายความว่าทีมงานจะแลกเปลี่ยนความคิดเห็นเกี่ยวกับการปรับใช้การรักษาความปลอดภัยในระหว่างการวางแผน และเริ่มต้นทดสอบปัญหาด้านความปลอดภัยในสภาพแวดล้อมของการพัฒนา แทนที่จะรอให้ถึงช่วงสุดท้าย แนวทางนี้เรียกอีกชื่อหนึ่งว่าการรักษาความปลอดภัยแบบ Shift Left

เหตุใด DevSecOps จึงสําคัญ

ผู้โจมตีใช้วิธีต่างๆ มากมายในการเข้าถึงข้อมูลและแอสเซทขององค์กร แต่กลวิธีที่พบบ่อยอย่างนึงก็คือการใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ การละเมิดประเภทนี้ส่งผลให้ต้องเสียค่าใช้จ่ายสูง กินเวลานาน และอาจสร้างความเสียหายให้กับชื่อเสียงของบริษัท หากเกิดขึ้นในระดับที่รุนแรง เฟรมเวิร์ก DevSecOps ช่วยลดความเสี่ยงของการปรับใช้ซอฟต์แวร์ที่มีการกำหนดค่าไม่ถูกต้องและช่องโหว่อื่นๆ ที่ผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์ได้

คอมโพเนนต์หลักของ DevSecOps

กระบวนการ DevSecOps ที่ประสบความสําเร็จประกอบด้วยคอมโพเนนต์ดังต่อไปนี้

การผสานรวมอย่างต่อเนื่อง

การผสานรวมอย่างต่อเนื่องช่วยให้นักพัฒนาส่งโค้ดของตนไปยังที่เก็บส่วนกลางได้วันละหลายครั้ง จากนั้นโค้ดจะได้รับการผสานรวมและทดสอบโดยอัตโนมัติ แนวทางนี้ช่วยให้ทีมงานตรวจพบปัญหาและบักเกี่ยวกับการผสานรวมได้ตั้งแต่ช่วงต้นของกระบวนการ แทนที่จะรอให้ถึงช่วงสุดท้ายซึ่งอาจมีปัญหาหลายอย่างที่จำเป็นต้องแก้ไข

การส่งมอบอย่างต่อเนื่อง

การส่งมอบอย่างต่อเนื่องตั้งอยู่บนพื้นฐานของการผสานรวมอย่างต่อเนื่องเพื่อสร้างระบบอัตโนมัติให้กับกระบวนการย้ายโค้ดจากสภาพแวดล้อมของการสร้างไปยังสภาพแวดล้อมของการจัดเตรียม เมื่ออยู่ในขั้นตอนการจัดเตรียม นอกเหนือจากการทดสอบหน่วยย่อยแล้ว ซอฟต์แวร์จะได้รับการทดสอบโดยอัตโนมัติเพื่อให้แน่ใจว่าส่วนติดต่อผู้ใช้สามารถใช้การได้, ผสานรวมโค้ดได้สำเร็จ, API เชื่อถือได้ และซอฟต์แวร์สามารถรองรับปริมาณการใช้งานได้ตามที่คาดการณ์ไว้ เป้าหมายของแนวทางนี้คือการส่งมอบโค้ดที่พร้อมใช้งานอย่างต่อเนื่องซึ่งมอบคุณค่าให้กับลูกค้า

การรักษาความปลอดภัยอย่างต่อเนื่อง

การใส่การรักษาความปลอดภัยเข้าไปในวงจรชีวิตการพัฒนาซอฟต์แวร์ทั้งวงจรถือเป็นคอมโพเนนต์สำคัญของ DevSecOps การดำเนินการนี้ประกอบด้วยการสร้างแบบจำลองภัยคุกคามตั้งแต่ช่วงต้นของกระบวนการ และการทดสอบความปลอดภัยอัตโนมัติตลอดทั้งวงจรชีวิต โดยเริ่มจากสภาพแวดล้อมของนักพัฒนาเอง การทดสอบซอฟต์แวร์อย่างละเอียดเพื่อตรวจหาปัญหาเกี่ยวกับความปลอดภัยตั้งแต่เนิ่นๆ และเป็นประจำช่วยให้องค์กรสามารถส่งมอบซอฟต์แวร์ที่มีประสิทธิภาพได้โดยมีปัญหาน้อยที่สุด

การสื่อสารและการทำงานร่วมกัน

DevSecOps ต้องพึ่งพาการทำงานร่วมกันอย่างใกล้ชิดระหว่างบุคลากรและทีมงานต่างๆ ในระดับสูง ในการผสานรวมอย่างต่อเนื่อง บุคลากรจำเป็นต้องร่วมมือกันเพื่อจัดการกับข้อขัดแย้งในโค้ด และทีมงานจำเป็นต้องสื่อสารกันอย่างมีประสิทธิภาพเพื่อทำงานให้สอดประสานในการบรรลุเป้าหมายเดียวกัน

วิธีการปรับใช้ DevSecOps

การเพิ่มการรักษาความปลอดภัยลงในกระบวนการ DevOps จำเป็นต้องมีการวางแผนอย่างรอบคอบ เริ่มต้นอย่างช้าๆ ด้วยกระบวนการที่ก่อให้เกิดความขัดแย้งน้อยที่สุดสำหรับทีมงานและให้ผลลัพธ์ที่ดีที่สุดในด้านความปลอดภัย วิธีการบางส่วนในการเพิ่มการรักษาความปลอดภัยลงในสปรินต์ DevOps ทั่วไปมีดังนี้

การวางแผนและการพัฒนา

การใส่การรักษาความปลอดภัยลงในสปรินต์การพัฒนาตั้งแต่เนิ่นๆ ไม่เพียงช่วยลดช่องโหว่ในภายหลัง แต่ยังช่วยประหยัดเวลาอีกด้วย เนื่องจากการจัดการกับปัญหาก่อนที่จะสร้างและผสานรวมโค้ดนั้นทำได้ง่ายกว่า ในระหว่างการวางแผนและการพัฒนา ให้ใช้การสร้างแบบจำลองภัยคุกคามเพื่อระบุและบรรเทาภัยคุกคามที่อาจเกิดขึ้นกับแอปพลิเคชัน การดำเนินการนี้จะช่วยให้คุณใส่การรักษาความปลอดภัยลงในแอปพลิเคชันได้ตั้งแต่แรกเริ่ม ในการตรวจให้พบปัญหาด้านความปลอดภัยก่อนที่โค้ดจะถูกส่งไปยังที่เก็บที่ใช้ร่วมกัน ให้ปรับใช้การตรวจสอบอัตโนมัติ เช่น ปลั๊กอินความปลอดภัยของสภาพแวดล้อมการพัฒนาแบบผสานรวม ซึ่งจะแจ้งให้นักพัฒนาทราบได้ทันทีหากมีความเสี่ยงด้านความปลอดภัยที่เป็นไปได้ในโค้ดที่ตนเขียนขึ้น ในระหว่างการตรวจทานโค้ด ควรขอคำแนะนำจากผู้เชี่ยวชาญด้านความปลอดภัยเพื่อทำการปรับปรุง

การส่งโค้ด

กุญแจสำคัญอย่างหนึ่งของกระบวนการ DevSecOps ที่ประสบความสำเร็จคือการผสานรวมอย่างต่อเนื่อง โดยทั่วไปแล้ว นักพัฒนาจะส่งโค้ดของตนไปยังที่เก็บส่วนกลางวันละหลายครั้งเพื่อให้แน่ใจว่าจะตรวจพบปัญหาด้านการผสานรวมได้ตั้งแต่เนิ่นๆ สิ่งสำคัญคือการเพิ่มการตรวจสอบความปลอดภัยอัตโนมัติลงในขั้นนี้ โดยอาจประกอบด้วยการสแกนไลบรารีและการขึ้นต่อกันของบริษัทอื่น การทดสอบหน่วยย่อย และการทดสอบความปลอดภัยของแอปพลิเคชันแบบคงที่ นอกจากนี้ การปรับใช้การควบคุมการเข้าถึงตามบทบาทก็สำคัญเช่นกัน เพื่อปกป้องโครงสร้างพื้นฐานของการผสานรวมอย่างต่อเนื่องและการส่งมอบอย่างต่อเนื่องของคุณจากผู้โจมตีที่ต้องการเรียกใช้โค้ดที่เป็นอันตรายหรือขโมยข้อมูลประจำตัว

การสร้างและการทดสอบ

การเรียกใช้สคริปต์ความปลอดภัยอัตโนมัติในสภาพแวดล้อมการทดสอบจะช่วยให้พบปัญหาที่อาจเกิดขึ้นได้ซึ่งตรวจไม่พบก่อนหน้านี้ การทดสอบความปลอดภัยส่วนหนึ่งที่คุณสามารถดำเนินการในระหว่างขั้นตอนนี้ ได้แก่ การทดสอบความปลอดภัยของแอปพลิเคชันแบบไดนามิก การสแกนโครงสร้างพื้นฐาน การสแกนคอนเทนเนอร์ การตรวจสอบความถูกต้องของการกำหนดค่าระบบคลาวด์ และการทดสอบการยอมรับการรักษาความปลอดภัย

การทำงานจริง

เมื่อปรับใช้แอปพลิเคชันกับการทำงานจริงแล้ว องค์กรบางแห่งจะดำเนินการทดสอบการเจาะระบบเพื่อพยายามหาจุดอ่อนในสภาพแวดล้อมขณะทำงาน ในการทดสอบการเจาะระบบนั้น ผู้ทดสอบจะใช้กรอบความคิดแบบผู้โจมตีและค้นหาวิธีต่างๆ ในการเจาะระบบแอปพลิเคชัน

การปฏิบัติการ

แม้แต่กระบวนการ DevSecOps ที่ดีที่สุดก็ไม่สามารถตรวจจับทุกอย่างได้ ดังนั้น การเฝ้าติดตามแอปพลิเคชันอย่างต่อเนื่องเพื่อตรวจหาช่องโหว่และภัยคุกคามจึงมีความสำคัญอย่างยิ่ง ข้อมูลการวิเคราะห์จะช่วยให้คุณประเมินว่าเสถียรภาพการรักษาความปลอดภัยของคุณมีประสิทธิภาพดีขึ้นหรือไม่ รวมถึงไฮไลต์จุดที่ควรปรับให้เหมาะสม

เครื่องมือและเทคโนโลยี DevSecOps

เมื่อต้องเลือกเครื่องมือการรักษาความปลอดภัย สิ่งสำคัญคือการเลือกเครื่องมือที่ทำงานได้ดีกับเทคโนโลยี DevOps ที่คุณใช้อยู่ในปัจจุบัน ซึ่งจะช่วยให้การรวมการรักษาความปลอดภัยเข้าไปในทั้งกระบวนการของคุณสามารถทำได้ง่ายขึ้น ตัวอย่างส่วนหนึ่งของเครื่องมือประเภทต่างๆ ที่คุณอาจจำเป็นต้องใช้ ได้แก่

โครงสร้างพื้นฐานที่เป็นการสแกนโค้ด

โดยทั่วไปแล้ว ทีมงาน DevSecOps จะปรับปรุงประสิทธิภาพของตนโดยใช้เครื่องมือโอเพนซอร์ส เช่น Terraform เพื่อจัดการและจัดเตรียมโครงสร้างพื้นฐานอย่างเครือข่าย เครื่องเสมือน และโหลดบาลานเซอร์ผ่านโค้ดแทนที่จะดำเนินการด้วยตนเอง Terraform ช่วยให้มั่นใจได้ว่าโครงสร้างพื้นฐานได้รับการตั้งค่าและอัปเดตอย่างสอดคล้องกันบนเซิร์ฟเวอร์ต่างๆ หลายร้อยหรือหลายพันเซิร์ฟเวอร์ เพื่อลดความเสี่ยงของการปรับใช้การกำหนดค่าที่ไม่ถูกต้องในสภาพแวดล้อมการทำงานจริง โครงสร้างพื้นฐานที่เป็นเครื่องมือการสแกนโค้ดจะตรวจสอบโครงสร้างพื้นฐานที่ระดับโค้ดโดยอัตโนมัติเพื่อดูการไม่ปฏิบัติตามข้อกำหนดของนโยบายและมาตรฐานด้านความปลอดภัย

การทดสอบความปลอดภัยของแอปพลิเคชันแบบคงที่

ก่อนที่จะคอมไพล์โค้ด นักพัฒนา DevSecOps จะเริ่มทดสอบโค้ดแบบกำหนดเองของตนเพื่อตรวจหาช่องโหว่ด้านความปลอดภัย การดำเนินการนี้ช่วยให้นักพัฒนาแก้ไขปัญหาต่างๆ ได้โดยไม่ส่งผลกระทบต่อบิลด์ เครื่องมือการทดสอบความปลอดภัยของแอปพลิเคชันแบบคงที่ช่วยให้กระบวนการนี้ง่ายขึ้นด้วยการตรวจสอบอัตโนมัติและฟีดแบ็กแบบเรียลไทม์ เครื่องมือจำนวนมากสามารถระบุได้อย่างแน่ชัดว่าโค้ดใดที่มีความเสี่ยง พร้อมทั้งระบุวิธีแก้ไขที่แนะนำ

การวิเคราะห์องค์ประกอบของซอฟต์แวร์

วิธีหนึ่งที่ทีมสามารถใช้เพื่อสร้างแอปพลิเคชันและคุณลักษณะได้อย่างมีประสิทธิภาพยิ่งขึ้นก็คือการใช้ปลั๊กอินและเฟรมเวิร์กของบริษัทภายนอก เครื่องมือสำเร็จรูปเหล่านี้ช่วยประหยัดเวลา แต่ก็อาจมาพร้อมกับความเสี่ยงด้วย เช่น ปัญหาเกี่ยวกับการให้สิทธิ์การใช้งาน โค้ดที่เขียนได้ไม่ดี หรือช่องโหว่ด้านความปลอดภัย เครื่องมือวิเคราะห์องค์ประกอบของซอฟต์แวร์จะระบุองค์ประกอบโอเพนซอร์สในแอปพลิเคชัน และประเมินโดยเทียบกับฐานข้อมูลที่เป็นกรรมสิทธิ์หรือฐานข้อมูลฟรีเพื่อตรวจหาการละเมิดสิทธิ์การใช้งานและปัญหาเกี่ยวกับความปลอดภัยและคุณภาพ

การทดสอบความปลอดภัยของแอปพลิเคชันแบบโต้ตอบ

ในระหว่างการทดสอบการประกันคุณภาพหรือเมื่อมีการใช้งานแอปพลิเคชัน เครื่องมือการรักษาความปลอดภัยของแอปพลิเคชันแบบโต้ตอบจะสแกนโค้ดเพื่อหาช่องโหว่และแสดงรายงานที่ระบุว่าปัญหาอยู่ ณ จุดใดในโค้ดดังกล่าว

การทดสอบความปลอดภัยของแอปพลิเคชันแบบไดนามิก

การทดสอบความปลอดภัยของแอปพลิเคชันแบบไดนามิกจะเลียนแบบวิธีต่างๆ ที่ผู้ไม่ประสงค์ดีอาจใช้ในการโจมตีแอปพลิเคชัน การทดสอบนี้เกิดขึ้นในขณะที่แอปพลิเคชันกําลังทํางาน และอิงตามรูปแบบการใช้งานที่กําหนดไว้ล่วงหน้า

การสแกนคอนเทนเนอร์

คอนเทนเนอร์มีการใช้งานอย่างแพร่หลายใน DevSecOps เนื่องจากช่วยให้นักพัฒนาปรับใช้หน่วยของโค้ดที่มีส่วนประกอบสมบูรณ์ได้อย่างง่ายดาย ภายในคอนเทนเนอร์คืออิมเมจคอนเทนเนอร์ที่ประกอบด้วยโค้ดที่เรียกใช้กระบวนการต่างๆ สำหรับคอนเทนเนอร์นั้น อย่างไรก็ตาม อิมเมจเหล่านี้มักจะสร้างขึ้นโดยใช้อิมเมจที่มีอยู่แล้วหรือดึงมาจากที่เก็บสาธารณะ เครื่องมือสแกนคอนเทนเนอร์จะสแกนคอนเทนเนอร์แล้วเปรียบเทียบกับฐานข้อมูลช่องโหว่สาธารณะหรือที่เป็นกรรมสิทธิ์ เพื่อตรวจหาปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นได้

แนวทางปฏิบัติของ DevSecOps

DevSecOps นั้นเกี่ยวข้องกับการเปลี่ยนแปลงวัฒนธรรมไม่น้อยไปกว่ากระบวนการและเครื่องมือ ต่อไปนี้คือแนวทางปฏิบัติส่วนหนึ่งที่ช่วยให้การรับเอาเฟรมเวิร์กนี้มาใช้เป็นไปอย่างราบรื่นที่สุด

เปลี่ยนวัฒนธรรม

ตระหนักว่าบุคลากรอาจประสบปัญหาในการเปลี่ยนแปลงวิธีการทำงาน และความขัดแย้งก็อาจเกิดขึ้นได้ เพื่อช่วยในการปรับตัว คุณจะต้องสื่อสารให้ชัดเจนถึงเป้าหมายและความคาดหวังขององค์กร มอบโอกาสต่างๆ ในการสนทนาแบบเปิดกว้าง และเตรียมตัวล่วงหน้าว่าคุณจะต้องยืดหยุ่นจนกว่าทีมงานจะพบเครื่องมือ กระบวนการ และจังหวะการทำงานที่เหมาะสมกับตนมากที่สุด

ระบุข้อกําหนดและเมตริก

กำหนดเกณฑ์พื้นฐานด้านความปลอดภัยขั้นต่ำ สำหรับคำแนะนำ ขอให้ดูข้อกำหนดของอุตสาหกรรมและระเบียบบังคับ หรือดู Open Worldwide Application Security Project® (OWASP) Top Ten สำหรับความเสี่ยงที่สำคัญต่อเว็บแอปพลิเคชัน และข้อผิดพลาดเกี่ยวกับซอฟต์แวร์ 25 อันดับแรกของ SANS เมื่อคุณระบุข้อกำหนดได้แล้ว ให้พิจารณาเมตริกที่คุณต้องการติดตามเพื่อช่วยในการตรวจสอบความคืบหน้า

เริ่มต้นทีละน้อย

เครื่องมือระบบอัตโนมัติด้านความปลอดภัยมอบตัวเลือกมากมายในการตรวจสอบโค้ดเพื่อตรวจหาปัญหา แต่การเปิดใช้งานทุกตัวเลือกอาจทำให้ทีมงานของคุณรู้สึกถาโถมมากเกินไป โดยเฉพาะอย่างยิ่งในช่วงต้นของการรับเอา DevSecOps มาใช้ คุณจึงควรพิจารณาอย่างรอบคอบว่าจะปรับใช้เครื่องมือใดบ้างและจะสแกนปัญหากี่อย่าง

สร้างแบบจําลองภัยคุกคาม

พัฒนากระบวนการสร้างแบบจำลองภัยคุกคาม ซึ่งอาจเป็นแบบเรียบง่ายหรือจะลงรายละเอียดและเกี่ยวข้องกับเทคนิคเป็นอย่างมากก็ได้ตามที่คุณต้องการ ใช้แนวทางนี้เพื่อบันทึกมุมมองด้านความปลอดภัยตามที่เป็นจริงของแอปพลิเคชันของคุณ ซึ่งประกอบด้วย:

  • วิธีที่ผู้โจมตีสามารถนำการออกแบบของแอปพลิเคชันไปใช้ในทางที่ผิด
  • วิธีแก้ไขช่องโหว่
  • ลําดับความสําคัญของปัญหาต่างๆ

ปรับใช้ระบบอัตโนมัติ

ระบบอัตโนมัติคือกุญแจสําคัญในการทำให้กระบวนการ DevSecOps มีทั้งคุณภาพและความเร็ว การฝังการแสกนความปลอดภัยอัตโนมัติลงในทุกขั้นของวงจรชีวิตการผสานรวมอย่างต่อเนื่องและการส่งมอบอย่างต่อเนื่อง จะช่วยให้คุณสามารถปรับปรุงความปลอดภัยของแอปพลิเคชันได้โดยไม่ทำให้กระบวนการล่าช้าลงอย่างมีนัยสำคัญ

จัดการกับการขึ้นต่อกัน

นักพัฒนาส่วนใหญ่ใช้แพคเกจและไลบรารีของบริษัทอื่นเพื่อสร้างแอปพลิเคชันได้อย่างมีประสิทธิภาพ แต่ปัญหาก็คือ โซลูชันบางอย่างเหล่านี้มีข้อบกพร่องด้านความปลอดภัย และนักพัฒนาก็ไม่ได้กระตือรือร้นที่จะคอยดูแลให้โซลูชันมีการอัปเดตอยู่เสมอ เพื่อลดความเสี่ยง คุณจึงต้องตรวจสอบให้แน่ใจว่าคอมโพเนนต์ที่คุณใช้ได้รับการตรวจสอบความเสี่ยงด้านความปลอดภัย และพัฒนากระบวนการที่เป็นมาตรฐานเพื่ออัปเดตโซลูชันเหล่านี้

ประเมินและปรับปรุง

ประเมินประสิทธิภาพการทำงานของกระบวนการเป็นประจำ และปรับตามความจําเป็นเพื่อให้แน่ใจว่าองค์กรของคุณกำลังบรรลุเป้าหมาย การหาสาเหตุของความผิดพลาดโดยไม่กล่าวโทษใครหลังจากที่การสปรินต์เสร็จสมบูรณ์จะช่วยให้คุณทราบถึงโอกาสสำหรับการปรับปรุงได้ นอกจากนี้ ข้อมูลการวิเคราะห์และข่าวกรองเกี่ยวกับภัยคุกคามก็ช่วยให้คุณระบุได้หากมีความต้องการด้านการรักษาความปลอดภัยใดๆ ที่ไม่ได้รับการตอบสนองด้วยแนวทางปัจจุบันที่คุณใช้อยู่

DevSecOps สำหรับแอปพลิเคชันระบบคลาวด์แบบเนทีฟ

แอปพลิเคชันระบบคลาวด์แบบเนทีฟได้รับการออกแบบมาสำหรับระบบคลาวด์และโดยทั่วไปจะไม่ได้จำกัดการใช้งานกับผู้ขายรายใดรายหนึ่ง จึงสามารถเคลื่อนย้ายจากระบบคลาวด์ระบบหนึ่งไปยังระบบคลาวด์อีกระบบหนึ่งได้ แอปพลิเคชันประเภทนี้ออกแบบมาให้มีความสามารถในการปรับขนาดและความยืดหยุ่นสูง ซึ่งโดยปกติแล้ว ทีมพัฒนาจะสร้างโดยใช้ไมโครเซอร์วิส คอนเทนเนอร์ และระบบอัตโนมัติ จึงทำให้เหมาะเป็นอย่างยิ่งสำหรับกระบวนการ DevSecOps การใส่การรักษาความปลอดภัยอย่างต่อเนื่อง การผสานรวมอย่างต่อเนื่อง และการส่งมอบอย่างต่อเนื่องเข้าไปในกระบวนการพัฒนาสำหรับแอปพลิเคชันระบบคลาวด์แบบเนทีฟช่วยให้แอปพลิเคชันสามารถปรับขนาดได้โดยไม่ต้องลดทอนการรักษาความปลอดภัย ใช้โซลูชันการรักษาความปลอดภัยอัตโนมัติ เช่น Microsoft Defender for DevOps เพื่อช่วยให้คุณรักษาความปลอดภัยให้กับโค้ดและไปป์ไลน์ DevOps ทั้งกระบวนการ เมื่อคุณได้ปรับใช้แอปพลิเคชันบนระบบคลาวด์แล้ว ให้คอยตรวจสอบความเสี่ยงต่อไป แพลตฟอร์มการปกป้องภาระงานในคลาวด์ (CWPP) ช่วยปกป้องแอปพลิเคชันเหล่านี้และข้อมูลเบื้องหลังที่สำคัญโดยการตรวจจับและบรรเทาภัยคุกคามปริมาณงานทั่วทั้งสภาพแวดล้อมแบบมัลติคลาวด์ โซลูชันการจัดการเสถียรภาพการรักษาความปลอดภัยในคลาวด์ (CSPM) จะสำรวจและจัดการกับการกำหนดค่าที่ไม่ถูกต้องและช่องโหว่ทั่วทั้งสภาพแวดล้อมของคุณ

เรียนรู้เพิ่มเติมเกี่ยวกับ Microsoft Security

Microsoft Defender for Cloud

ปกป้องสภาพแวดล้อมแบบมัลติคลาวด์และไฮบริดตั้งแต่การพัฒนาไปจนถึงขณะทำงานด้วยแพลตฟอร์มการปกป้องแอปพลิเคชันบนคลาวด์ที่ครอบคลุม

เรียนรู้เพิ่มเติม

Microsoft Defender for Cloud Apps

ปรับปรุงวิธีที่คุณรักษาความปลอดภัยของแอปให้ทันสมัย ปกป้องข้อมูล และยกระดับเสถียรภาพการรักษาความปลอดภัยของแอปด้วยโซลูชัน SaaS นี้

เรียนรู้เพิ่มเติม

Microsoft Defender สำหรับการจัดการเสถียรภาพการรักษาความปลอดภัยในคลาวด์

โฟกัสความเสี่ยงที่สำคัญที่สุดของคุณในสภาพแวดล้อมแบบมัลติคลาวด์ด้วยการจัดการเสถียรภาพการรักษาความปลอดภัยในคลาวด์ตามบริบท

เรียนรู้เพิ่มเติม

Microsoft Defender for DevOps

รับการจัดการด้านการรักษาความปลอดภัยของ DevOps แบบรวมศูนย์ในสภาพแวดล้อมแบบมัลติคลาวด์และหลายไปป์ไลน์

เรียนรู้เพิ่มเติม

คำถามที่ถามบ่อย

  • DevSecOps คือกระบวนการที่ผสานรวมการรักษาความปลอดภัยเข้าไปในวงจรชีวิตการพัฒนาซอฟต์แวร์ทั้งวงจร องค์กรต่างๆ รับเอาแนวทางนี้มาใช้เพื่อลดความเสี่ยงของการเผยแพร่โค้ดที่มีช่องโหว่ด้านความปลอดภัย โดยทีมงานจะแบ่งความรับผิดชอบเรื่องความปลอดภัยผ่านการทำงานร่วมกัน ระบบอัตโนมัติ และกระบวนการที่ชัดเจน แทนที่จะปล่อยทิ้งไว้จนกระทั่งกลายเป็นเรื่องยากขึ้นและต้องเสียค่าใช้จ่ายสูงในการจัดการกับปัญหา

  • DevSecOps ย่อมาจาก Development (การพัฒนา), Security (การรักษาความปลอดภัย) และ Operations (การปฏิบัติการ) ซึ่งหมายถึงกระบวนการผสานรวมการรักษาความปลอดภัยเข้าไปในทุกขั้นของการพัฒนาซอฟต์แวร์

  • Shift Left คือแนวคิดแบบหนึ่งใน DevSecOps ที่หมายถึงการรวมแนวทางปฏิบัติด้านการรักษาความปลอดภัยเข้าไปตั้งแต่ระยะแรกสุดของกระบวนการพัฒนา

  • เฟรมเวิร์ก DevSecOps ประกอบด้วยการผสานรวมอย่างต่อเนื่อง การส่งมอบอย่างต่อเนื่อง และการรักษาความปลอดภัยอย่างต่อเนื่อง ซึ่งเป็นวิธีที่ทีมงานฝ่ายรักษาความปลอดภัยและฝ่ายปฏิบัติการจะทำงานร่วมกันและแบ่งความรับผิดชอบ เพื่อให้สามารถส่งมอบซอฟต์แวร์ที่มีคุณภาพได้อย่างรวดเร็วยิ่งขึ้นไปพร้อมๆ กับลดช่องโหว่ด้านความปลอดภัย

  • DevSecOps ไม่ได้หมายถึงกระบวนการแบบใดเพียงแบบเดียว แต่วิธีการทั่วไปที่ผู้คนเรียกใช้โครงการเหล่านี้ก็คือการแบ่งงานออกเป็นสปรินต์ โดยแต่ละสปรินต์จะประกอบด้วยคอมโพเนนต์ต่อไปนี้: การวางแผนและการพัฒนา การสร้างและการทดสอบ และการทำงานจริง ตลอดทั้งสปรินต์ ทีมงานจะใช้ระบบอัตโนมัติเพื่อแก้ไขปัญหาด้านการประกันคุณภาพอย่างต่อเนื่อง ผสานรวมอย่างต่อเนื่อง และทดสอบความเสี่ยงด้านความปลอดภัยอย่างต่อเนื่อง

ติดตาม Microsoft Security

Surface Pro Surface Laptop Copilot สำหรับองค์กร Copilot สำหรับใช้ส่วนตัว Microsoft 365 สำรวจผลิตภัณฑ์ Microsoft แอป Windows 11 โพรไฟล์บัญชีผู้ใช้ ศูนย์ดาวน์โหลด คืนสินค้า ติดตามการสั่งซื้อ Microsoft Education อุปกรณ์สำหรับการศึกษา Microsoft Teams สำหรับการศึกษา Microsoft 365 Education Office Education การฝึกอบรมและการพัฒนานักการศึกษา ข้อตกลงสำหรับนักศึกษาและผู้ปกครอง Azure สำหรับนักศึกษา
Microsoft AI การรักษาความปลอดภัยของ Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams นักพัฒนาของ Microsoft Microsoft Learn รองรับแอปตลาด AI Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Marketplace Rewards Visual Studio ตำแหน่งงาน ข่าวบริษัท สิทธิ์ส่วนบุคคลที่ Microsoft นักลงทุน ความยั่งยืน
ไทย (ไทย)
ไอคอนการเลือกไม่รับตัวเลือกความเป็นส่วนตัวของคุณ ตัวเลือกความเป็นส่วนตัวของคุณ
ความเป็นส่วนตัวด้านสุขภาพของผู้บริโภค ติดต่อ Microsoft ความเป็นส่วนตัว จัดการคุกกี้ ข้อตกลงการใช้งาน เครื่องหมายการค้า เกี่ยวกับโฆษณาของเรา