កម្មវិធីគំរូ SecDevOps - ដំណោះស្រាយសុវត្ថិភាពព័ត៌មានសម្រាប់អង្គការ

នៅថ្ងៃទី 29 ខែវិច្ឆិកា ឆ្នាំ 2024 អ្នកតំណាង MISA បានចែករំលែកបទពិសោធន៍ជាក់ស្តែងក្នុងការកសាងវប្បធម៌ SecDevOps ដើម្បីបង្កើនសុវត្ថិភាពព័ត៌មានសម្រាប់អង្គការនៅក្នុងសិក្ខាសាលា "ស្វែងយល់អំពី DevSecOps - បច្ចេកវិទ្យា និងដំណោះស្រាយការគ្រប់គ្រងសុវត្ថិភាព" ដែលរៀបចំដោយ BIDV Insurance - BIC ។

សិក្ខាសាលានេះមានការចូលរួមពីអ្នកជំនាញឈានមុខក្នុងវិស័យព័ត៌មានវិទ្យា និងសន្តិសុខព័ត៌មាន។ នៅខាង MISA មានការចូលរួមពីលោក Nguyen Quang Hoang - ប្រធានសន្តិសុខព័ត៌មាន លោក Bui Duc Truong - ប្រធាននាយកដ្ឋានសន្តិសុខព័ត៌មាន។

ក្នុងក្របខ័ណ្ឌនៃសិក្ខាសាលានេះ លោក Bui Duc Truong ប្រធាននាយកដ្ឋានសន្តិសុខព័ត៌មាន MISA បានណែនាំគំរូ SecDevOps ដោយហេតុនេះការចែករំលែកបទពិសោធន៍ក្នុងការអនុវត្ត SecDevOps លើផលិតផលដើម្បីគាំទ្រដល់អង្គការនានាក្នុងការលើកកម្ពស់ការយល់ដឹងអំពីសន្តិសុខ និងសុវត្ថិភាពព័ត៌មាន។

យោងទៅតាមកាតាឡុកបែងចែកភាពងាយរងគ្រោះ និងការបង្ហាញទូទៅរបស់ Paloalto Network ចាប់ពីខែវិច្ឆិកា ឆ្នាំ 2022 ដល់ខែមករា ឆ្នាំ 2023 ភាពងាយរងគ្រោះតែងតែលេចឡើងក្នុងកម្មវិធី ដោយសារការសរសេរកម្មវិធីដែលមិនមានសុវត្ថិភាព។ ដូច្នេះ អង្គការចាំបាច់ត្រូវបញ្ចូលសុវត្ថិភាពទៅក្នុងដំណើរការអភិវឌ្ឍផលិតផលកម្មវិធីទាំងមូល។ ជាពិសេស ការអនុវត្តគំរូ SecDevOps ទៅនឹងកម្មវិធីដើម្បីបង្កើនល្បឿនដំណើរការអភិវឌ្ឍផលិតផល កាត់បន្ថយភាពងាយរងគ្រោះ 40-50% នៅក្នុងកូដប្រភព នេះបើយោងតាមលោក James Rutt - CIO Insight ។

បញ្ជីបែងចែកភាពងាយរងគ្រោះសម្រាប់ CVEs ចាប់ពីខែវិច្ឆិកា ឆ្នាំ 2022 ដល់ខែមករា ឆ្នាំ 2023។

SecDevOps គឺជាគំរូអភិវឌ្ឍន៍ដែលរួមបញ្ចូលគ្នានូវសុវត្ថិភាព ការអភិវឌ្ឍន៍ និងប្រតិបត្តិការ ស្រដៀងទៅនឹង DevSecOps ។ ទោះជាយ៉ាងណាក៏ដោយ ភាពខុសគ្នាសំខាន់គឺថា SecDevOps ដាក់សុវត្ថិភាពនៅជួរមុខនៃផ្នត់គំនិតរបស់បុគ្គលគ្រប់រូប និងនៅគ្រប់ជំហាននៃដំណើរការអភិវឌ្ឍកម្មវិធី។ លើសពីនេះ គំរូនេះលើកកម្ពស់ដំណើរការការងារ និងវប្បធម៌ "ក្រុមតែមួយ" ដោយជួយបុគ្គលធ្វើការយ៉ាងជិតស្និទ្ធជាមួយគ្នា ដើម្បីធានាបាននូវសុវត្ថិភាពជាអាទិភាពនៅទូទាំង។

អង្គការត្រូវអនុវត្ត SecDevOps យ៉ាងជិតស្និទ្ធរវាងកត្តា 3៖ មនុស្ស - ដំណើរការ - បច្ចេកវិទ្យា។

ដើម្បីអនុវត្តគំរូ SecDevOps ប្រកបដោយប្រសិទ្ធភាព អង្គការត្រូវអនុវត្តយ៉ាងជិតស្និទ្ធនូវកត្តាបីយ៉ាង៖ មនុស្ស ដំណើរការ និងបច្ចេកវិទ្យា។ ទាក់ទងនឹងមនុស្ស អង្គការត្រូវបង្កើនជំនាញក្រុមសុវត្ថិភាពព័ត៌មានរបស់ពួកគេ តម្រឹមក្រុម Sec ជាមួយក្រុម DevOps និងផ្តល់ការបណ្តុះបណ្តាលផ្នែកកម្មវិធី និងការដាក់ឱ្យប្រើប្រាស់ប្រកបដោយសុវត្ថិភាព។ នៅក្នុងលក្ខខណ្ឌនៃដំណើរការ អង្គការអាចអនុវត្តគំរូ Secure – Software Development Life Cycle (SSDLC) ដើម្បីបង្កើតកម្មវិធីដែលមានសុវត្ថិភាព។ នៅក្នុងលក្ខខណ្ឌនៃបច្ចេកវិទ្យា អង្គការអាចប្រើប្រាស់វិធីសាស្រ្ត និងឧបករណ៍សុវត្ថិភាពខាងក្រោមដើម្បីស្វែងរក និងដោះស្រាយភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាព៖ ការវិភាគឋិតិវន្ត (SAST); ការវិភាគថាមវន្ត (DAST); ការវិភាគអន្តរកម្ម (IAST); ការវិភាគសមាសភាពកម្មវិធី (SCA) ។

យោងតាមលោក Truong អ្នកសរសេរកម្មវិធីចាំបាច់ត្រូវទទួលការបណ្តុះបណ្តាលលើការយល់ដឹងអំពីសុវត្ថិភាព និងការសរសេរកម្មវិធីប្រកបដោយសុវត្ថិភាព សំដៅការពារភាពងាយរងគ្រោះពីការលេចឡើងនៅក្នុងជំហានបន្ទាប់នៃដំណើរការអភិវឌ្ឍន៍កម្មវិធី។

ក្នុងនាមជាសហគ្រាសបច្ចេកវិជ្ជាឈានមុខគេដែលផ្តល់កម្មវិធីជាសេវាកម្មនៅក្នុងប្រទេសវៀតណាម និងជាអ្នកផ្តួចផ្តើមនៃសម្ព័ន្ធ CYSEEX MISA ប្តេជ្ញាអមជាមួយអង្គការនានាក្នុងការដាក់ពង្រាយដំណោះស្រាយសុវត្ថិភាពកម្រិតខ្ពស់ ការពារទិន្នន័យ និងប្រព័ន្ធព័ត៌មានពីការវាយប្រហារតាមអ៊ីនធឺណិត។

ប្រភព៖ https://www.misa.vn/149771/secdevops-model-application-information-security-solution-for-organizations/