[AZ-400] Implement Security And Validate Code Bases For Compliance

Pipeline - มี 2 ส่วนทีสำคัญ
- Package management + approval process associated
- Source Scanner

key validation points - ภาพด้านบนสรุปได้ดีว่าเราจะเอา Action ของ Sec ใส่เข้าไปใน DevOps ยังไงบ้าง
threat modeling มันจะอยู่ใน Core ของ Microsoft Security Development Lifecycle (SDL) เลยนะ
- threat modeling - อ้างอิง Step ของทาง MS นะ
  - Defining security requirements
  - Creating an application diagram
  - Identifying threats
  - Mitigating threats
  - และ Validating that threats have been mitigated.
- Blog นี้ [OWASP] สรุป Secure Design: Threat Modelling
Knowledge check: Introduction to Secure DevOps

open-source projects - เปิด Code แต่การนำมาใช้ต้องดู License ด้วยนะ ^__^
- how the sources can be used and distributed afterward
- A license agreement comes with the source code and specifies what can and cannot be done.
แต่องค์กรก็มีกังวลเหมือนกัน เรื่องการเอา Open-Source ไปใข้ ดังนี้
- Are of low quality.
- Have no active maintenance
- Contain malicious code + security vulnerabilities
- Have unfavorable licensing restrictions - License บางแบบบังคับให้ Contribute กลับให้ อาจจะต้องระวังถ้าไปแก้ไข Code ของ Lib นั้นๆ

Explore common open-source licenses type
- Copyleft licenses หรือ เรียกว่า สัญญาอนุญาตต่างตอบแทน - เอามาใช้แล้ว เราต้องตอบแทนด้วย //Zombie License อันนี้แข็งสุดๆ
- downstream - weak copyleft
- Attribution - Permissive licenses คือ ใช้ได้ฟรี ไม่ต้อง Contribute Code อันนี้อ่อนสุด
ผมมี Blog เขียนไว้ด้วยนะตอนปี 2015 ความเข้าใจผิดเกี่ยวกับ Open Source การใช้งานต้องระวังด้วย
- License rating - ปกติจะดูจาก license type - ถ้า Copy Left มี Risk สูงในการนำมาใช้ ต้องดูข้อจำกัดให้ดีๆ
- Package security - Supply Chain Attack ช่วงนี้ดังครับ
Knowledge check: Implement open-source software

Subscribe to get the latest posts sent to your email.

[AZ-400] Implement security and validate code bases for compliance