OWASP
OWASP (Open Worldwide Application Security Project) คือโครงการชุมชนเปิดที่มุ่งเน้นการปรับปรุงความปลอดภัยของซอฟต์แวร์ เป็นที่รู้จักกันอย่างแพร่หลายจากการจัดอันดับความเสี่ยงด้านช่องโหว่ "OWASP Top 10"
หากคุณเคยทำงานด้านความปลอดภัยของเว็บแอปพลิเคชัน คุณคงเคยเห็นชื่อ OWASP Top 10 มาแล้ว รายการนี้จัดระบบรูปแบบช่องโหว่ที่นักพัฒนามักพบเจอซ้ำๆ ไม่ว่าจะเป็น SQL Injection, XSS หรือข้อบกพร่องด้านการยืนยันตัวตน และเผยแพร่เป็นความเสี่ยงที่ควรจัดการเป็นลำดับแรก OWASP เองไม่ใช่เครื่องมือหรือผู้ขายรายใดรายหนึ่ง แต่เป็นโครงการไม่แสวงหาผลกำไรที่ดำเนินการโดยผู้เชี่ยวชาญด้านความปลอดภัยทั่วโลกแบบอาสาสมัคร นอกจาก Top 10 แล้วยังเผยแพร่โครงการอื่นๆ อีกมากมาย รวมถึง OWASP Testing Guide, ASVS และ SAMM ด้วยการแพร่หลายของ Generative AI ทำให้ **OWASP Top 10 for LLM Applications** ถูกเผยแพร่ออกมา ครอบคลุมความเสี่ยงเฉพาะของ LLM 10 ข้อ รวมถึง Prompt Injection การรั่วไหลของข้อมูลสำคัญ และการให้สิทธิ์มากเกินไป จุดเด่นคืออินพุตเป็นภาษาธรรมชาติ ทำให้การตรวจสอบแบบดั้งเดิมไม่สามารถป้องกันการโจมตีบางรูปแบบได้ ในบริบท DevSecOps การนำแนวทาง OWASP มาใช้ใน CI/CD Pipeline เพื่อตรวจจับช่องโหว่ตั้งแต่เนิ่นๆ กลายเป็นแนวปฏิบัติทั่วไปแล้ว
คำศัพท์ที่เกี่ยวข้อง
ATDD
ATDD (Acceptance Test-Driven Development) คือวิธีการพัฒนาซอฟต์แวร์ที่ทีมงานทั้งหมดร่วมกันกำหนดเกณฑ์การทดสอบการยอมรับ (Acceptance Test) ก่อนเริ่มการพัฒนา จากนั้นจึงทำการ Automate การทดสอบดังกล่าว แล้วจึงดำเนินการ Implement ต่อไป
TDD
TDD (Test-Driven Development) คือวิธีการพัฒนาซอฟต์แวร์ที่เขียน Test ก่อนเขียนโค้ดจริง โดยวนซ้ำในวงจรสั้น ๆ ได้แก่ Test ล้มเหลว (RED) → การ Implement (GREEN) → การ Refactor (Refactor)
DevSecOps
DevSecOps คือแนวทางที่นำมาตรการด้านความปลอดภัยมาผนวกรวมไว้ตั้งแต่ต้นในกระบวนการ DevOps pipeline โดยบูรณาการสามด้านเข้าด้วยกัน ได้แก่ การพัฒนา (Development) ความปลอดภัย (Security) และการปฏิบัติการ (Operations)
