OWASP
OWASP (Open Worldwide Application Security Project) ແມ່ນໂຄງການຊຸມຊົນເປີດທີ່ມຸ່ງເນັ້ນການປັບປຸງຄວາມປອດໄພຂອງຊອບແວ ເປັນທີ່ຮູ້ຈັກກັນຢ່າງແຜ່ຫຼາຍຈາກການຈັດອັນດັບຄວາມສ່ຽງ "OWASP Top 10".
ຖ້າທ່ານເຄີຍເຮັດວຽກດ້ານຄວາມປອດໄພຂອງເວັບແອັບພລິເຄຊັນ ທ່ານຄົງເຄີຍເຫັນຊື່ OWASP Top 10. ລາຍການນີ້ຈັດລະບົບຮູບແບບຊ່ອງໂຫວ່ທີ່ນັກພັດທະນາພົບເຈີໃນວ້ຳເວີ້ນ ບໍ່ວ່າຈະເປັນ SQL Injection, XSS ຫຼື ຂໍ້ບົກພ່ອງດ້ານການຢືນຢັນຕົວຕົນ.
OWASP ບໍ່ແມ່ນເຄື່ອງມືຫຼືຜູ້ຂາຍ ແຕ່ເປັນໂຄງການບໍ່ແສວງຫາກຳໄລທີ່ດຳເນີນການໂດຍຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພທົ່ວໂລກ. ນອກຈາກ Top 10 ຍັງເຜີຍແຜ່ໂຄງການອື່ນໆ ລວມທັງ OWASP Testing Guide, ASVS ແລະ SAMM.
ດ້ວຍການແຜ່ຫຼາຍຂອງ Generative AI ເຮັດໃຫ້ OWASP Top 10 for LLM Applications ຖືກເຜີຍແຜ່ ຄອບຄຸມຄວາມສ່ຽງສະເພາະຂອງ LLM 10 ຂໍ້ ລວມທັງ Prompt Injection ແລະ ການຮົ່ວໄຫຼຂອງຂໍ້ມູນສຳຄັນ.
ໃນບໍລິບົດ DevSecOps ການນຳແນວທາງ OWASP ມາໃຊ້ໃນ CI/CD Pipeline ເພື່ອກວດຈັບຊ່ອງໂຫວ່ແຕ່ເນີ່ນໆ ກາຍເປັນແນວປະຕິບັດທົ່ວໄປແລ້ວ.
ຄຳສັບທີ່ກ່ຽວຂ້ອງ
ການສີດໃສ່ຄຳສັ່ງ (Prompt Injection)
ເຕັກນິກການໂຈມຕີທີ່ໃຊ້ການປ້ອນຂໍ້ມູນທີ່ເປັນອັນຕະລາຍເພື່ອຄວບຄຸມການເຮັດວຽກຂອງ LLM ໃຫ້ໄປໃນທິດທາງທີ່ບໍ່ໄດ້ຕັ້ງໃຈ. ຖືກຈັດປະເພດເປັນຄວາມສ່ຽງສຳຄັນທີ່ສຸດໃນ OWASP LLM Top 10.
ໂທເຄັນ OIDC (OIDC Token)
OIDC token ແມ່ນຊື່ເອີ້ນລວມຂອງ ID token, access token, ແລະ refresh token ທີ່ອອກໃຫ້ພາຍໃຕ້ OpenID Connect protocol, ເຊິ່ງເປັນຂໍ້ມູນທີ່ມີລາຍເຊັນສຳລັບການແລກປ່ຽນຂໍ້ມູນການພິສູດຕົວຕົນ (authentication) ແລະການອະນຸຍາດ (authorization) ຂອງຜູ້ໃຊ້ຢ່າງປອດໄພ.
PoC (ການພິສູດແນວຄິດ)
PoC (Proof of Concept, ການພິສູດແນວຄິດ) ແມ່ນຂະບວນການກວດສອບຄວາມເປັນໄປໄດ້ຂອງເຕັກໂນໂລຊີ ຫຼື ແນວຄິດໃໝ່ໃນຂະໜາດນ້ອຍ. ມັນຖືກດຳເນີນການເພື່ອເຮັດໃຫ້ຄວາມສ່ຽງເປັນທີ່ເຫັນໄດ້ຊັດເຈນກ່ອນທີ່ຈະລົງທຶນໃນການພັດທະນາຢ່າງເຕັມຮູບແບບ ແລະ ເພື່ອຕັດສິນວ່າ "ວິທີການນີ້ສາມາດບັນລຸເປົ້າໝາຍໄດ້ຫຼືບໍ່".
