หลายคนอาจจะเจอคำถามแนวๆว่า เพิ่ม Feature นี้เข้าไป หรือ Deploy ระบบที่ละส่วน มันมีแนวคิดการ Integrate หรือ ป่าวนะ ที่เป็น Guideline หรือป่าวนะ สรุปมีแนวทาง โดยมี 4 กลยุทธ์ที่ใช้กัน ดังนี้ครับ Big Bang Incremental Top-Down Button-Up Sandwich 1. Big Bang Big Bang ไม่มีลำดับอะไร เมื่อทุกคนทำเสร็จให้เทรวม และทดสอบรวมกันเดียว เหมาะกับ งานที่ไม่มีความซับซ้อน หรือมีขนาดเล็ก เพราะ ถ้าพลาดนี้หนังชีวิตเลยครับ แต่ต้องระวัง เนื่องจากเป็นการเทรวม…
สำหรับวันนี้เป็น Blog สรุปจาก Session Secure Design: Threat Modelling โดยคุณนฤดม รุ่งศิริวงศ์ คร้บ โดยก่อนจะรู้จักกับ Threat Modelling ต้องมารู้จักกับคำว่า Attack Surface กันก่อนครับ Application Security Risk When We Do Threat Modeling ทำตั้งแต่ช่วง Phase Design เพราะการเจอปัญหาก่อน มันช่วยลด Cost ในการปรับปรุงแก้ไขได่เยอะ Attack Surface จุดเสื่ยงมีเปิดโอกาศในเกิดการโจมตีระบบได้ เพื่อให้ทราบว่า ส่วนไหนของระบบที่ต้องมีการ Review /…
หลังจากบ่น Process ฝั่ง Service บ่อยๆเข้าก็เลย โดนจับส่งไปเป็น Appraisal Team Member (ATM) เลย CMMI Appraisal คือ อะไร ? เป็นการวัดศักยภาพ และวุฒิภาวะขององค์กร จากกระบวนการ (Process) เพื่อให้ได้รู้ถึง Strength / Weakness และ อื่นๆ โดยรูปแบบการประเมิน 4 แบบ Evaluation – ประเมินความสามารถ Benchmark – สอบจริง (Cert มีอายุ 3 ปี) Sustainment…
เนื่องจากเดือนที่ผ่านมาผมได้เป็น ATM (Appraisal Team Member) สำหรับการประเมิน High Maturity ครับ เลยขอมาสรุปสัญลักษณ์ตอนบันทึก Finding ว่ามีอะไรบ้างครับ [S] Strength สิ่งที่เป็นจุดแข็งขององค์กร โดยสิ่งที่จับมาเป็นจุดแข็งได้ต้องอะไรที่นวัตกรรม (Innovation) ใหม่ๆ ที่มันมากกว่าการตอบตัว Intent และ Value ของแต่ละ Practice นวัตกรรม (Innovation) ใหม่ๆ คือ อะไร ? เป็นสิ่งที่หลายๆองค์กรยังไม่ได้ทำกัน ไม่จำเป็นต้องเป็นการนำเทคโนโลยีมาทำให้เป็น Automate อย่างเดียวเท่านั้นครับ อาจจะเป็นแนวคิดก็ได้ครับ เช่น มีการเสนอ Tailoring Guide ของแต่ละ…
ก่อนจะได้เข้าทำหน้าที่ ATM (Appraisal Team Member) ผมต้องผ่าน Course High Maturity Concepts ก่อนครับ โดยผมมีสรุปสิ่งที่ผมเข้าใจไว้คร่าวๆ ดังนี้ High Maturity คือ อะไร ถ้ามองเป็นคน องค์กรต้องเป็นผู้ใหญ่ที่มีวุฒิภาวะ ประสบการณ์ หรือมองว่าเป็นข้อมูลในอดีต (Historical Data) การตัดสินใจใดๆ ต้องมีเหตุ และผลรองรับ จากข้อมูล (Data Driven Decisions) มองว่าเป็นการทำ Hypothesis Test ที่ใน 100% บอกความเชื่อมั่นว่าสำเร็จเท่าไหร่ และที่เหลือมองเป็น % ความเสี่ยง ครับ…
สำหรับหัวข้อ Security Testing Tools for QA/Tester โดย คุณอัมฤทธิ์ ทองทั่ว (2021-07-29) ผมโชคดีที่เหลือบมาเห็น Feed ใน Facebook Group ช่วงเย็นครับ เลยแว๊บมาฟัง และทำงานคู่กันไปด้วยครับ Security Testing & Software Development Process หลายคนมักเข้าใจผิดว่าทำหลัง Software เสร็จ แต่จริงๆ มันมาคู่กันเลยครับ โดยถ้ามีการเก็บ Requirement มีต้องถาม Requirement ในส่วนของ Security Requirement ประกอบคู่กันด้วยครับ การทดสอบ Security Testing…
ช่วงนี้เจอปัญหาเยอะด้าน TOR ครับ ยังไงต้องตรวจดีๆครับ จากเดิม Wording เดียวกับลูกค้าทำ VA Scan แต่มาอีกโครงการตีความไปเป็นทาง Vendor ทำ VA Scan ครับ เศร้าเลยครับ แต่ในโชคร้ายยังมีดีอยู่ครับ ตอนแรกเข้าใจว่าต้องหา Tool VA Scan แบบแพงๆ แล้วครับ แต่พอดูอ้าว เรามีซื้อ RedHat Subscription ไว้ครับ เสียเงินแล้ว มี Tool ที่ทำ VA Scan ช่วยตรวจสอบ Config ของ OS ครับ Secure…
นอกจาก CORE Practice ของ CMMI แล้ว มันมี pre-define view อย่าง Product และ Server ออกมาด้วย แล้วมันต่างอย่างไรบ้าง ปกติตัว Doc จะบอกถึง 4 ข้อสำคัญ Know What To Do – รู้ว่าทำแอะไร Decide How To – ทำอย่างไร โดยต้องมีการ Estimate และวางแผนกิจกรรมต่างๆขึ้นมา โดยที่ผลลัพธ์ที่ี่ได้ Product – สนใจ work products…
หลังจากห่างงานแนวๆนี้ไปนาน เพราะติดเรียน ป โท ครับ ตอนนี้เรียนจบ / รับปริญญา เรียบร้อยแล้ว เดินทางมา SCB Academy อย่างไร ? เริ่มงาน สรุปหัวข้อในงานที่ผมได้ฟังนะครับ – Robinhood – GPO Go Agile – ผิดไหมที่จะรู้สึกไม่ดีกับคนในทีม – มองวัฒนธรรมองค์กรผ่านมุมมอง The Platform ผลประกอบการสะท้อนวิธีการทำงาน และวัฒนธรรมขององค์กร ผมชอบคำนี้นะ – Domain Driven Design for Agile Blog หรือ Resource…
วันนี้ผมมารีวิวหนังอะไร หรือป่าว ขอตอบว่าไม่ใช่ครับ โดยวันนี้ผมมาสรุป เรื่อง CIA + T Triad ที่มาช่วยให้เราพัฒนาระบบให้มีความปลอดภัยตั้งแต่ช่วงการออกแบบ (Design) ครับ โดยที่ตัวอย่างแต่ละตัวมีความหมาย ดังนี้ครับ จริงๆตอนแรกมันมีแต่ CIA แหละครับ แต่จากหนังสือ Secured by Design ผู้เขียนหนังสือขอเพิ่มตัว T เข้ามาด้วยครับ ซึ่งผมเห็นด้วยนะที่เพิ่ม เพราะ มันช่วยทำให้เราทราบปัญหา การเปลี่ยนไปของข้อมูลด้วยครับ ขอปิดท้ายด้วยว่า Security ไม่ใช่ Functional Requirement แต่มันเป็น Non-Functional Requirement (Quality Attribute) ซึ่งส่งผลกับการออกแบบระบบ และการเลือกใช้สถาปัตยกรรม…
