OWASP
OWASP (Open Worldwide Application Security Project) คือโครงการชุมชนเปิดที่มุ่งเน้นการปรับปรุงความปลอดภัยของซอฟต์แวร์ เป็นที่รู้จักกันอย่างแพร่หลายจากการจัดอันดับความเสี่ยงด้านช่องโหว่ "OWASP Top 10"
หากคุณเคยทำงานด้านความปลอดภัยของเว็บแอปพลิเคชัน คุณคงเคยเห็นชื่อ OWASP Top 10 มาแล้ว รายการนี้จัดระบบรูปแบบช่องโหว่ที่นักพัฒนามักพบเจอซ้ำๆ ไม่ว่าจะเป็น SQL Injection, XSS หรือข้อบกพร่องด้านการยืนยันตัวตน และเผยแพร่เป็นความเสี่ยงที่ควรจัดการเป็นลำดับแรก
OWASP เองไม่ใช่เครื่องมือหรือผู้ขายรายใดรายหนึ่ง แต่เป็นโครงการไม่แสวงหาผลกำไรที่ดำเนินการโดยผู้เชี่ยวชาญด้านความปลอดภัยทั่วโลกแบบอาสาสมัคร นอกจาก Top 10 แล้วยังเผยแพร่โครงการอื่นๆ อีกมากมาย รวมถึง OWASP Testing Guide, ASVS และ SAMM
ด้วยการแพร่หลายของ Generative AI ทำให้ OWASP Top 10 for LLM Applications ถูกเผยแพร่ออกมา ครอบคลุมความเสี่ยงเฉพาะของ LLM 10 ข้อ รวมถึง Prompt Injection การรั่วไหลของข้อมูลสำคัญ และการให้สิทธิ์มากเกินไป จุดเด่นคืออินพุตเป็นภาษาธรรมชาติ ทำให้การตรวจสอบแบบดั้งเดิมไม่สามารถป้องกันการโจมตีบางรูปแบบได้
ในบริบท DevSecOps การนำแนวทาง OWASP มาใช้ใน CI/CD Pipeline เพื่อตรวจจับช่องโหว่ตั้งแต่เนิ่นๆ กลายเป็นแนวปฏิบัติทั่วไปแล้ว
คำศัพท์ที่เกี่ยวข้อง
ATDD
ATDD (Acceptance Test-Driven Development) คือวิธีการพัฒนาซอฟต์แวร์ที่ทีมงานทั้งหมดร่วมกันกำหนดเกณฑ์การทดสอบการยอมรับ (Acceptance Test) ก่อนเริ่มการพัฒนา จากนั้นจึงทำการ Automate การทดสอบดังกล่าว แล้วจึงดำเนินการ Implement ต่อไป
TDD
TDD (Test-Driven Development) คือวิธีการพัฒนาซอฟต์แวร์ที่เขียน Test ก่อนเขียนโค้ดจริง โดยวนซ้ำในวงจรสั้น ๆ ได้แก่ Test ล้มเหลว (RED) → การ Implement (GREEN) → การ Refactor (Refactor)
การฉีดพรอมต์ (Prompt Injection)
เทคนิคการโจมตีที่ใช้อินพุตที่เป็นอันตรายเพื่อควบคุมพฤติกรรมของ LLM ให้เบี่ยงเบนไปจากที่ตั้งใจไว้ ถูกจัดให้เป็นความเสี่ยงสูงสุดใน OWASP LLM Top 10
