DevSecOps
DevSecOps คือแนวทางที่นำมาตรการด้านความปลอดภัยมาผนวกรวมไว้ตั้งแต่ต้นในกระบวนการ DevOps pipeline โดยบูรณาการสามด้านเข้าด้วยกัน ได้แก่ การพัฒนา (Development) ความปลอดภัย (Security) และการปฏิบัติการ (Operations)
## อย่าให้ Security เป็นเรื่อง "เพิ่มทีหลัง" ในกระบวนการพัฒนาแบบดั้งเดิม Security Review ทำหน้าที่เป็น Gate ก่อน Release เพียงขั้นตอนเดียว คือส่งโค้ดที่เสร็จแล้วให้ทีม Security รัน Vulnerability Scan แล้วส่งกลับหากพบปัญหา ซึ่งทำให้ Release Schedule ตึงเครียด และความสัมพันธ์ระหว่างทีม Development กับทีม Security มักเสื่อมถอยลงด้วย "Shift Left" ใน DevSecOps หมายถึงการย้าย Security Check เหล่านี้ไปสู่ช่วงต้นของการพัฒนา นั่นคือ "ฝั่งซ้าย" บน Timeline เมื่อเขียนโค้ดเสร็จ SAST (Static Analysis) จะทำงานทันที และความเสี่ยงด้าน Security จะถูกตรวจพบตั้งแต่ขั้นตอน PR Review ตัดปัญหาการรีบแก้ไขกันวุ่นวายก่อน Release ออกไปตั้งแต่ต้น ## สิ่งที่ควรฝังไว้ใน Pipeline **SAST (Static Application Security Testing)**: วิเคราะห์ Source Code เพื่อตรวจจับ SQL Injection, XSS, Hardcoded Secrets และอื่น ๆ รันในช่วงต้นของ CI/CD **DAST (Dynamic Application Security Testing)**: ทดสอบ Attack Pattern กับ Application ที่กำลังรันอยู่จริงเพื่อค้นหา Vulnerability รันในขั้นตอนการทดสอบบน Staging Environment **SCA (Software Composition Analysis)**: ตรวจจับ Vulnerability ที่รู้จักแล้ว (CVE) ใน Third-Party Library ตรวจสอบอัตโนมัติเมื่อถึงเวลาอัปเดต Dependency **Policy as Code**: ใช้เครื่องมืออย่าง OPA (Open Policy Agent) หรือ Cedar เพื่อจัดการ Security Policy ในรูปแบบโค้ด กฎต่าง ๆ เช่น "ห้าม Access DB Production โดยตรง" หรือ "ปฏิเสธการสร้าง Storage ที่ไม่ได้เข้ารหัส" จะถูก Apply อัตโนมัติในขั้นตอน Deploy ## ความสัมพันธ์กับการพัฒนา AI Application ที่ฝัง LLM ไว้ด้วยนั้นมี Attack Vector ที่ไม่เคยมีใน Web Application แบบดั้งเดิม ไม่ว่าจะเป็น Prompt Injection, การรั่วไหลของข้อมูลจาก Model หรือการปนเปื้อนของ Training Data นอกจากนี้ยังมีกฎระเบียบอย่าง EU AI Act ทำให้การเพิ่ม Security Check เฉพาะสำหรับ AI เข้าไปใน DevSecOps Pipeline กำลังแพร่หลายอย่างรวดเร็วในช่วงเข้าสู่ปี 2026
คำศัพท์ที่เกี่ยวข้อง
วิศวกรรมบริบท
Context Engineering คือสาขาวิชาที่ว่าด้วยการออกแบบและปรับแต่งบริบท (Context) ที่ป้อนให้กับ AI Model อย่างเป็นระบบ ไม่ว่าจะเป็นโครงสร้างของ Codebase, ประวัติ Commit, เจตนาในการออกแบบ (Design Intent) และความรู้เฉพาะด้าน (Domain Knowledge)
TDD
TDD (Test-Driven Development) คือวิธีการพัฒนาซอฟต์แวร์ที่เขียน Test ก่อนเขียนโค้ดจริง โดยวนซ้ำในวงจรสั้น ๆ ได้แก่ Test ล้มเหลว (RED) → การ Implement (GREEN) → การ Refactor (Refactor)
ทักษะของเอเจนต์
Agent Skills คือชุดคำสั่งที่นำกลับมาใช้ซ้ำได้ซึ่งถูกกำหนดขึ้นเพื่อให้ AI Agent ดำเนินงานหรือความเชี่ยวชาญเฉพาะด้าน และทำหน้าที่เป็นหน่วยโมดูลที่ขยายขีดความสามารถของ Agent
