3 ข้อผิดพลาดร้ายแรงในการพัฒนาซอฟต์แวร์ให้ปลอดภัย

Cyber Security นับว่าเป็นประเด็นสำคัญไม่เว้นแม้แต่วงการพัฒนาซอฟต์แวร์ Tripwire ผู้ให้บริการโซลูชันด้าน Security และ Compliance ออกมาระบุว่า บริษัทพัฒนาซอฟต์แวร์หลายแห่งมักพัฒนาซอฟต์แวร์อย่างไม่ระมัดระวัง กล่าวคือ ไม่ใส่ใจด้าน Security ในการพัฒนาซอฟต์แวร์อย่างเต็มที่ ส่งผลให้ซอฟต์แวร์ที่ปล่อยออกมายังคงมีช่องโหว่และเสี่ยงต่อการถูกโจมตีในอนาคต

pallete2

Bob Loihl วิศวกรซอฟต์แวร์อาวุโสและผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยในการพัฒนาซอฟต์แวร์ เปิดเผยถึงข้อผิดพลาดร้ายแรง 3 ประการในการเพิ่ม Security เข้าไปในกระบวนการพัฒนาซอฟต์แวร์ ประกอบด้วย

1. เพิ่ม Security เข้าไปหลังสุดก่อนปิดโปรเจ็คท์

นักพัฒนาซอฟต์แวร์ควรพัฒนาซอฟต์แวร์ไปพร้อมๆ กับวางแผนด้าน Security ตั้งแต่ตอนเริ่มโปรเจ็คท์ เพื่อให้ซอฟต์แวร์มีความมั่นคงปลอดภัยตั้งแต่ระดับ Architecture และ Design รวมไปถึงช่วยให้สามารถวางแผนเขียนโค้ดให้ปลอดภัยได้ทุกภาคส่วน ประเด็นนี้ถือว่ามีความสำคัญมากเนื่องจากในยุคปัจจุบัน ผู้ใช้งานมักคาดหวังว่าซอฟต์แวร์ที่ตนเลือกใช้จะมีระบบรักษาความปลอดภัยอันแข็งแกร่ง เพื่อให้สามารถใช้งานได้อย่างสบายใจ

2. ถือทิฐิไม่ยอมใช้ Security Tool ของผู้อื่นในการพัฒนาซอฟต์แวร์

ซอฟต์แวร์ที่ดีไม่จำเป็นต้องเป็นซอฟต์แวร์ที่เราพัฒนาด้วยตนเองทั้งหมดเสมอไป โดยเฉพาะเรื่อง Security เช่น ระบบพิสูจน์ตัวตน การเข้ารหัสข้อมูล หรือฟังก์ชันด้านความปลอดภัยที่ซับซ้อน นักพัฒนาซอฟต์แวร์สามารถเลือกใช้งานที่มีอยู่แล้ว และถูกยืนยันเรียบร้อยแล้วว่ามีการทำ Secure Coding รวมถึงออกแบบมาอย่างปลอดภัย มาใช้ต่อยอดในการพัฒนาซอฟต์แวร์ของตนได้ ซึ่งจะช่วยลดระยะเวลาในการเขียนโปรแกรมและทดสอบการใช้งาน รวมไปถึงภาระงานของนักพัฒนาลงได้เป็นอย่างดี

3. ไม่รอบคอบในการเลือกใช้โค้ดหรือ Library ของผู้อื่น

บางครั้ง การนำงานของคนอื่นมาใช้จำเป็นต้องตรวจสอบความปลอดภัยและช่องโหว่ให้ดี ไม่ใช่ทุกงานในโลกอินเทอร์เน็ตที่แชร์กันจะปลอดภัยไร้ช่องโหว่ นักพัฒนาซอฟต์แวร์จำเป็นต้องตรวจสอบให้แน่ใจว่าโค้ดของผู้อื่นที่นำมาใช้มีการยืนยันเรื่อง Security, Threat Modeling และการรับประกันการใช้งานอื่นๆ เพื่อให้ซอฟต์แวร์ของตนเองไม่มีช่องโหว่ที่เกิดจากการใช้โค้ดหรือ Library เหล่านั้น

เหนือสิ่งอื่นใด Tripwire ให้ความเห็นว่า นักพัฒนาซอฟต์แวร์ควรเปลี่ยนความคิดที่ว่า ระบบยิ่งซับซ้อนเท่าไหร่ ระบบก็จะยิ่งมีความปลอดภัยเท่านั้น ซึ่งความเป็นจริงนั้นตรงกันข้ามอย่างสิ้นเชิง ยิ่งระบบซับซ้อน ยิ่งมีช่องทางให้แฮ็คเกอร์สามารถหาช่องโหว่หรือจุดอ่อนให้โจมตีได้มากยิ่งขึ้น รวมไปถึงการซ่อนฟังก์ชันด้าน Security ไม่ให้คนอื่นทราบก็ไม่ใช่ความคิดที่ถูกต้องเสมอไป การเปิดเผยฟังก์ชันด้าน Security ให้เกิดการทำ Peer Review จะช่วยให้นักพัฒนาซอฟต์แวร์สามารถทราบถึงจุดอ่อนและความเสี่ยงด้านความปลอดภัยของระบบ และจัดการปิดมันได้ก่อนที่จะส่งมอบซอฟต์แวร์ให้กับลูกค้า

ที่มา: http://www.informationsecuritybuzz.com/articles/top-three-mistakes-in-secure-software-development/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่ Unauthorized Access บน Cisco Aironet AP รุนแรงระดับ 9.8/10

Cisco ออก Security Advisory แจ้งเตือนถึงช่องโหว่ความรุนแรงระดับ Critical บนซอฟต์แวร์ของผลิตภัณฑ์ Cisco Aironet Access Point ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงอุปกรณ์พร้อมยกระดับสิทธิ์ในการเข้าถึงได้จากระยะไกลโดยไม่ได้รับอนุญาต ที่สำคัญคือไม่จำเป็นต้องพิสูจน์ตัวตนด้วย แนะนำให้ผู้ใช้ระบบ Wireless …

Jack Ma เผย แต่ละวัน Alibaba Group ถูกโจมตีมากถึง 300 ล้านครั้ง

ในงาน Forbes Global CEO Conference ในสิงคโปร์ Jack Ma ผู้ก่อตั้งแห่ง Alibaba Group ได้ออกมาเล่าถึงการที่ในแต่ละวัน Alibaba ต้องรับมือกับการโจมตีมากถึง 300 ล้านครั้ง แต่บริการหลักๆ นั้นก็ยังคงทำงานได้อย่างมั่นคงปลอดภัยอยู่