DevSecOps

อย่าให้ Security เป็นเรื่อง "เพิ่มทีหลัง"

ในกระบวนการพัฒนาแบบดั้งเดิม Security Review ทำหน้าที่เป็น Gate ก่อน Release เพียงขั้นตอนเดียว คือส่งโค้ดที่เสร็จแล้วให้ทีม Security รัน Vulnerability Scan แล้วส่งกลับหากพบปัญหา ซึ่งทำให้ Release Schedule ตึงเครียด และความสัมพันธ์ระหว่างทีม Development กับทีม Security มักเสื่อมถอยลงด้วย

"Shift Left" ใน DevSecOps หมายถึงการย้าย Security Check เหล่านี้ไปสู่ช่วงต้นของการพัฒนา นั่นคือ "ฝั่งซ้าย" บน Timeline เมื่อเขียนโค้ดเสร็จ SAST (Static Analysis) จะทำงานทันที และความเสี่ยงด้าน Security จะถูกตรวจพบตั้งแต่ขั้นตอน PR Review ตัดปัญหาการรีบแก้ไขกันวุ่นวายก่อน Release ออกไปตั้งแต่ต้น

สิ่งที่ควรฝังไว้ใน Pipeline

SAST (Static Application Security Testing): วิเคราะห์ Source Code เพื่อตรวจจับ SQL Injection, XSS, Hardcoded Secrets และอื่น ๆ รันในช่วงต้นของ CI/CD

DAST (Dynamic Application Security Testing): ทดสอบ Attack Pattern กับ Application ที่กำลังรันอยู่จริงเพื่อค้นหา Vulnerability รันในขั้นตอนการทดสอบบน Staging Environment

SCA (Software Composition Analysis): ตรวจจับ Vulnerability ที่รู้จักแล้ว (CVE) ใน Third-Party Library ตรวจสอบอัตโนมัติเมื่อถึงเวลาอัปเดต Dependency

Policy as Code: ใช้เครื่องมืออย่าง OPA (Open Policy Agent) หรือ Cedar เพื่อจัดการ Security Policy ในรูปแบบโค้ด กฎต่าง ๆ เช่น "ห้าม Access DB Production โดยตรง" หรือ "ปฏิเสธการสร้าง Storage ที่ไม่ได้เข้ารหัส" จะถูก Apply อัตโนมัติในขั้นตอน Deploy

ความสัมพันธ์กับการพัฒนา AI

Application ที่ฝัง LLM ไว้ด้วยนั้นมี Attack Vector ที่ไม่เคยมีใน Web Application แบบดั้งเดิม ไม่ว่าจะเป็น Prompt Injection, การรั่วไหลของข้อมูลจาก Model หรือการปนเปื้อนของ Training Data นอกจากนี้ยังมีกฎระเบียบอย่าง EU AI Act ทำให้การเพิ่ม Security Check เฉพาะสำหรับ AI เข้าไปใน DevSecOps Pipeline กำลังแพร่หลายอย่างรวดเร็วในช่วงเข้าสู่ปี 2026