Category Software Development

สรุป Hacker Game Workshop: Surviving your app in the cruel world by KBTG

งานนี้ผมเข้ามาแบบงงๆ นะครับ พอดีมีคนแชร์ลิงค์เค้ามาครับ เลยเข้ามาในฐานศิษย์เก่า ป.โท มาฟังและมีสรุป Blog เล็กน้อยๆกันครับ Secure SDLC DevSecOps Define Security Requirement Define Regulatory Compliance Requirement สำหรับมา Regulatory Compliance มีหลายค่ายกำหนด ถ้ายกตัวอย่างระบบที่มีการตัดเงินมีสิ่งที่สนใจเบื้องต้น ดังนี้ Establish Secure Design Principle มีหลายอัน ตัวหลักๆที่สำคัญก็มี Define and Use Security Standard Component Secure Coding – SQL…

[CMMI] PI กับ TS มันคืออะไร ?

สำหรับ Blog นี้เป็นการเก็บตกหลังประเมินไปแล้วนะครับ ผมเลยมาขอสรุปว่า Practice Area PI กับ TS มัน คือ อะไร PI กับ TS เป็น Practice Area เฉพาะในส่วนของ CMMI DEV PI กับ TS อยู่ใน Engineering & Developing Product (EDP) หลังจากรู้แบบกว้างๆกันแล้ว กลับมาดูที่ละ Practices Area ว่าเน้นอะไรกัน ตาม Intent และ Value ที่ได้ครับ…

[ATH2021] สรุปงาน Agile Thailand 2021: Agile & Pandemic

สำหรับการจัดงานครั้งนี้จะเป็นแบบ Virtual โดยใช้ระบบของ welo ครับ โดยเป็นห้องประชุมสัมมนา Online มันจะดูมี Feature ที่เยอะกว่า Zoom / MS Team และไม่ต้องลงโปรแกรมด้วย Concept สรุปหัวข้อในงานที่ผมได้ฟังนะครับ – KEYNOTE: Agile ไปช่วยทำระบบ Home Isolation ได้อย่างไร – Plan-Do-Check-Study-Act แค่นี้ก็ Agility ได้ อย่าเพิ่งไป Scrum เลย (10:00 – 10:45) AGILE = output (Product) +…

Software/Product Integration Strategy

หลายคนอาจจะเจอคำถามแนวๆว่า เพิ่ม Feature นี้เข้าไป หรือ Deploy ระบบที่ละส่วน มันมีแนวคิดการ Integrate หรือ ป่าวนะ ที่เป็น Guideline หรือป่าวนะ สรุปมีแนวทาง โดยมี 4 กลยุทธ์ที่ใช้กัน ดังนี้ครับ Big Bang Incremental Top-Down Button-Up Sandwich 1. Big Bang Big Bang ไม่มีลำดับอะไร เมื่อทุกคนทำเสร็จให้เทรวม และทดสอบรวมกันเดียว เหมาะกับ งานที่ไม่มีความซับซ้อน หรือมีขนาดเล็ก เพราะ ถ้าพลาดนี้หนังชีวิตเลยครับ แต่ต้องระวัง เนื่องจากเป็นการเทรวม…

[OWASP] สรุป Secure Design: Threat Modelling

สำหรับวันนี้เป็น Blog สรุปจาก Session Secure Design: Threat Modelling โดยคุณนฤดม รุ่งศิริวงศ์ คร้บ โดยก่อนจะรู้จักกับ Threat Modelling ต้องมารู้จักกับคำว่า Attack Surface กันก่อนครับ Application Security Risk When We Do Threat Modeling ทำตั้งแต่ช่วง Phase Design เพราะการเจอปัญหาก่อน มันช่วยลด Cost ในการปรับปรุงแก้ไขได่เยอะ Attack Surface จุดเสื่ยงมีเปิดโอกาศในเกิดการโจมตีระบบได้ เพื่อให้ทราบว่า ส่วนไหนของระบบที่ต้องมีการ Review /…

[CMMI] เมื่อ Dev อย่างเราๆ ไปเป็น Appraisal Team Member (ATM)

หลังจากบ่น Process ฝั่ง Service บ่อยๆเข้าก็เลย โดนจับส่งไปเป็น Appraisal Team Member (ATM) เลย CMMI Appraisal คือ อะไร ? เป็นการวัดศักยภาพ และวุฒิภาวะขององค์กร จากกระบวนการ (Process) เพื่อให้ได้รู้ถึง Strength / Weakness และ อื่นๆ โดยรูปแบบการประเมิน 4 แบบ Evaluation – ประเมินความสามารถ Benchmark – สอบจริง (Cert มีอายุ 3 ปี) Sustainment…

[CMMI] สัญลักษณ์ตอนบันทึก Finding ในระหว่าง Appraisal มีอะไรบ้าง

find, investigate, black binocular on round device

เนื่องจากเดือนที่ผ่านมาผมได้เป็น ATM (Appraisal Team Member) สำหรับการประเมิน High Maturity ครับ เลยขอมาสรุปสัญลักษณ์ตอนบันทึก Finding ว่ามีอะไรบ้างครับ [S] Strength สิ่งที่เป็นจุดแข็งขององค์กร โดยสิ่งที่จับมาเป็นจุดแข็งได้ต้องอะไรที่นวัตกรรม (Innovation) ใหม่ๆ ที่มันมากกว่าการตอบตัว Intent และ Value ของแต่ละ Practice นวัตกรรม (Innovation) ใหม่ๆ คือ อะไร ? เป็นสิ่งที่หลายๆองค์กรยังไม่ได้ทำกัน ไม่จำเป็นต้องเป็นการนำเทคโนโลยีมาทำให้เป็น Automate อย่างเดียวเท่านั้นครับ อาจจะเป็นแนวคิดก็ได้ครับ เช่น มีการเสนอ Tailoring Guide ของแต่ละ…

[CMMI] High Maturity Concepts

ก่อนจะได้เข้าทำหน้าที่ ATM (Appraisal Team Member) ผมต้องผ่าน Course High Maturity Concepts ก่อนครับ โดยผมมีสรุปสิ่งที่ผมเข้าใจไว้คร่าวๆ ดังนี้ High Maturity คือ อะไร ถ้ามองเป็นคน องค์กรต้องเป็นผู้ใหญ่ที่มีวุฒิภาวะ ประสบการณ์ หรือมองว่าเป็นข้อมูลในอดีต (Historical Data) การตัดสินใจใดๆ ต้องมีเหตุ และผลรองรับ จากข้อมูล (Data Driven Decisions) มองว่าเป็นการทำ Hypothesis Test ที่ใน 100% บอกความเชื่อมั่นว่าสำเร็จเท่าไหร่ และที่เหลือมองเป็น % ความเสี่ยง ครับ…

[OWASP] สรุป Security Testing Tools for QA/Tester จากงาน OWASP Monthly (07/2021)

สำหรับหัวข้อ Security Testing Tools for QA/Tester โดย คุณอัมฤทธิ์ ทองทั่ว (2021-07-29) ผมโชคดีที่เหลือบมาเห็น Feed ใน Facebook Group ช่วงเย็นครับ เลยแว๊บมาฟัง และทำงานคู่กันไปด้วยครับ Security Testing & Software Development Process หลายคนมักเข้าใจผิดว่าทำหลัง Software เสร็จ แต่จริงๆ มันมาคู่กันเลยครับ โดยถ้ามีการเก็บ Requirement มีต้องถาม Requirement ในส่วนของ Security Requirement ประกอบคู่กันด้วยครับ การทดสอบ Security Testing…

[SECURITY] ทดสอบ Secure Configuration บน RedHat 8.X โดย OpenSCAP

ช่วงนี้เจอปัญหาเยอะด้าน TOR ครับ ยังไงต้องตรวจดีๆครับ จากเดิม Wording เดียวกับลูกค้าทำ VA Scan แต่มาอีกโครงการตีความไปเป็นทาง Vendor ทำ VA Scan ครับ เศร้าเลยครับ แต่ในโชคร้ายยังมีดีอยู่ครับ ตอนแรกเข้าใจว่าต้องหา Tool VA Scan แบบแพงๆ แล้วครับ แต่พอดูอ้าว เรามีซื้อ RedHat Subscription ไว้ครับ เสียเงินแล้ว มี Tool ที่ทำ VA Scan ช่วยตรวจสอบ Config ของ OS ครับ Secure…