สรุป OWASP Top 10 CI/CD Security Risks

สำหรับ Blog นี้เป็นเดินทางมาไกลเลย จากวงเวียนใหญ่ มาตรง MFEC กว่าจะออกมาได้ CI Test พังด้วย 555 แต่พอเดาสาเหตุได้และ เลยรีบมาฟัง OWASP Top 10 CI/CD Security Risks ที่จัดโดยทาง OWASP Bangkok Chapter และ 2600Thailand ครับ แชร์โดยคุณณัฐวรพงษ์ ลอยไสว จาก Shipty ครับ สำหรับหัวข้อที่จดๆมาประมาณนี้ครับ CI / CD คือ อะไร ? CI / CD มาช่วยลดความผิดพลาดจาก แต่อีกด้านนึงตัว CI/CD เปิด Attack Surface เพิ่มขึ้นด้วยเช่นกัน อาทิ Shared Resource จุดนึง / ตัว CI/CD อีกจุด NOTE: สำหรับ OWASP Top 10 CI/CD มองในส่วนของ CI/CD ใน DevOps นะครับ ไม่ใช่ DevSecOps Tools: CI/CD Goat OWASP Top 10 CI/CD Security Risks – CICD-SEC-1: Insufficient Flow Control Mechanisms สำหรับอันนี้ Attacker ใช้จุดเด่นของ CI/CD คือ Fast Feedback มาให้โจมตี เช่น แก้ไข Code เพื่อใส่ malicious code และปล่อยให่กระจายไปตาม pipeline…

DB2 Driver งงไปหมดด

ถ้าใครยังใช้งาน DB2 อยู่ แล้วต้องมาหา Driver เพื่อเอาไปติดตั้งใช้งาน มันจะเป็นอะไรที่โคตรงง และงงมาก คิดว่ามาจด ความเจ็บปวดที่เจอมาดีกว่า ถ้าลงเพียวๆ ต่อไปเป็น Driver ใน Code ครับ มีอีกหลายตัวครับ แต่ไม่เคยใช้งาน ตามรูปเลย ถ้าใช้ Container มาท่านี้ครับ สบายขึ้นเยอะ dockerfile สำหรับ .NET6 + DB2 อ๋อแล้วถ้ามี Dev ใช้ Platform หลากหลาย กับ DB2 อันนี้เลยครับ [.NET] บันทึกการจัดการ NuGet ที่ต้องแยกเฉพาะตาม Platform ครับ Reference

ลองมาเรียน The Cloud Camp รอบ Audition

สำหรับงานนี้เห็นเค้าแชร์กันบน Facebook จัดโดยทาง Jump Box ครับ ผมเลยลองมาเรียนดู เพราะมีรอบฟรี 3 ครั้ง เรียกว่าเป็นการปรับพื้นฐานปูพื้นก็ได้ครับ โดยหัวข้อมี ดังนี้ ระหว่างเรียนมี Activity Time ให้ลองทำกัน สนุกดี เอามาแชร์ใน Discord เห็นมุมมองที่ต่างออกไป และที่เรียนมามีหลายเรื่องที่คิดว่าเข้าใจ แต่ได้มาเรียนรู้เพิ่มบางเรื่องด้วย เช่น พวก Linux Command บางอันทำงานมานานก็ไม่ได้ใช้ 55 / หรือ แนวคิด Continuus Delivery กับ Continuus Deployment ตอนแรกคิดว่ามันเหมือนกันนะ (แต่ตอนสอบตอบผิด 55) เป็นต้น หลังจากเรียนจบมีสอบบน Platform ของ Quilgo สอบวันนี้แหละ ก็มืนๆ ทำไป 55 คำถามบางอันไม่รู้จริงๆนะ อย่างพวก Command vi นี้ ทำอะไร ปกติใช้ nano แต่จริงๆ Tools บางตัวมันก็ vi ภาคบังคับอย่างแก้ Crontab อันนี้ก็มั่วลองตอบไป ส่วนตัวข้อสอบทำเร็วมาก 25 นาที submit ตู้มๆ เด๊ยวรอผลอาทิตย์หน้าครับ ปล ถ้าสอบผ่าน มี Course เรียนยาวๆ 4 เดือน (เสียเงินน้า)

Install OpenSSH Server on Windows 11/10

empty train rail with light

มาสำรวจกันก่อนครับ ว่าที่ Windows มีอะไรบ้าง ด้วยคำสั่งนี้ ตอนนี้เราจะพบว่า OpenSSH.Client มีแล้ว แต่ยังขาด OpenSSH.Server ครับ เมื่อไม่พบ OpenSSH.Server ติดตั้ง OpenSSH Server ตามคำสั่ง ด้านล่างครับ ตรวจสอบสถานะการติดตั้ง OpenSSH.Server อีกรอบครับ ลอง Start Service SSH + Set Automate Start up เปิด Firewall Port 22 ทดสอบ Connect ด้วยคำสั่ง ssh <username>@<hostname or IP>

[.NET] บันทึกการจัดการ NuGet ที่ต้องแยกเฉพาะตาม Platform ครับ

เนื่องจากมีบาง NuGet ที่มันมีความพิเศษ แม้ตัว .NET Core / .NET 5++ มันจะใช้ได้แบบ Cross Platform แล้ว แต่มันมี Third Party บางตัว มันจะยังต้องแยกตาม Platform อยู่ครับ ยกตัวอย่าง เช่น IBM DB2 ครับ แล้วที่นี่ ถ้าเรามีโจทย์/เงื่อนไขประมาณนี้ Solution แก้ที่ตัว csproj ของเราครับ โดยเราต้องมาดูกันก่อนว่าตัว cs project มันใส่เงื่อนไขได้ไหม ซึ่งมันทำได้ครับ อ๋อ แต่การแก้แบบนี้ อาจจะต้องตรวจสอบด้วยนะครับ ว่า NuGet ที่เราเอามาใช้งาน ถ้ามีการขยับ Version อย่าลืมตรวจสอบด้วยนะครับ ว่าทุก Platform หรือ ในส่วนของ Visual Studio กับตัว dotnet build เวอร์ชันสอดคล้องกันไหมครับ และก็ตอน Build จากระบบ CI/CD อย่างเช่น Jenkins / Gitlab ถ้าจะระบุ Platform ตอน Build ต้องมาปรับ Param ด้วยครับ Reference

ซ่อมบ้าน-ทาสีกันซึมดาดฟ้า

สำหรับอันนี้จริงวางแผนตั้งแต่ปลายปีที่แล้ว แต่ทว่างานด่วน งานเร่ง งานดองมาแทรกตลอด ช่วงนี้บ่นเยอะงานพวกนี้เลยลดลงจนได้มีเวลาดูบ้านสักที สำหรับ Blog นี้จะแบ่งเนื้อหาประมาณนี้คร้บ Plan Execute – เตรียม Landing Zone ก่อน (หยุดสงกรานต์ 2023) ทว่าไม่ได้ทำต่อแล้ว เพราะว่าติด COVID-19 รายละเอียดตาม Blog COVID-19 First Time (2023-04-25 – 2023-05-05) – แก้ปัญหาท่อระบายน้ำตัน (29-Apr-2023) – ขัดพื้นอีกรอบ (30-Apr-2023) – ซื้อสีกันซึม (1-May-2023) – ทาสีชั้นรองพื้น (4-May-2023) สีหมดถัง ใช้เวลาเยอะกว่าที่คิดนะ 06:30 – 15:20 แดดร้อนมากๆ ผิวไหม้เกรียมเลย รูปด้านล่างผลประกอบการวันแรกครับ เห็นว่าบางจุดทาไปแล้วยังมีรอยสีขาวๆ อาจจะเก็บงานที่ไม่เรียบด้วยกระดาษทรายก็ได้นะครับ ดูจากคลิปใน Reference มีทำอยู่ครับ แต่ผมไม่ไหวแล้วครับ – ทาสีเพิ่มอีกชั้น เพื่อความเหนียว (5-May-2023) เนื่องจากสีเหลือ 1 กระป๋อง 20 kg ถ้าทาแบบวันแรกเอาให้เต็มรองพื้นน่าจะไม่พอแน่ๆ เลยต้องแบ่งพื้นที่นิดนึง ตอนทาสีต้องทาแต่ละชั้นให้มันไขว้กันครับ แต่ละชั้นตามรูป มันจะช่วยให้สียึดติดกันเหนียวขึ้นครับ ที่เลือกทาขอบขึ้นมา 10 นิ้ว เพราะลูกกลิ้ง 10 นิ้วครับ ใช้เวลาน้อยกว่าวันแรก 06:20 – 11:30 ผลประกอบการวันที่สองครับ ส่วนที่เหลือคงรอช่วงปลายปีหน้าหนาวมาทางอีกรอบครับ – ลอกเทปกาวออก (7-May-2023) 2 Month Later Cost Reference

ทำให้ตัว ICONV support TIS-620

จาก Blog ตอนก่อน Interface แล้วได้ TextFile 0 bytes ตอนนั้นผมได้ตัดสินใจว่าจะ Lock Base Image ก่อน แต่ทว่าไม่มีวี่แววที่จะแก้ไข แล้วมีช่วงเวลานึงที่ว่างๆมั้ง เลยคิดว่า Issue นี้ควรจะเข้ามาดูเองแล้ว เลยตัดสินใจศึกษาข้อมูลเพิ่มพบว่า ตัว ICONV มัน On Top จากตัว GCONV ที่สามารถพัฒนาให้รองรับ Encoding ใหม่ๆได้ ดังนั้น สรุปได้ว่าจริงๆ แล้วทีม Maintainer ของ Image Rocky / AlmaLinux น่าต้องการ Optimize Image เลยเอาออก แต่ระบบที่เราดูปลายทางยังอยากได้ TIS-620 !!! ยังไงต้องหาทางแก้ โดยมี Step ดังนี้ ลองเอาไฟล์ TIS-620.so มา build cache ของ gconv-modules ขั้นตอนการ build cache ของ gconv-modules ที่มี TIS-620 มีดังนี้ สำเร็จครับ ตัว TIS-620 โผล่ขึ้นมาครับ Next Step แต่น่าจะต้องลุ้นต่อไปว่าจะได้ย้าย Base Image ไหม จากข่าว Red Hat เลิกเปิดซอร์สโค้ด RHEL ต่อเว็บสาธารณะ ต้องล็อกอินบัญชีลูกค้าเท่านั้น | Blognone ครับ Git Repo: pingkunga/make-iconv-support-tis-620 (github.com) Reference

Code Coverage คือ อะไร และสำคัญยังไง ?

ช่วงนี้พยายามจะดันให้ทุกคนในบริษัทเขียน Test แบบ (Automate) มันมีคำถามว่า แล้วเราจะรู้ได้ยังไง ว่า Test ที่เขียนไปมันมีคุณค่า ไม่ใช่ Test เข้าไป execute ที่ code จุดเดิมซ้ำๆ เลยเป็นที่มาของ Blog นี้ครับ โดยจะมีหัวข้อย่อยๆ ดังนี้ Code Coverage คือ อะไร ? KEY: Code Coverage มันบอกว่าเราเข้าใจ Code ที่เขียนมากแค่ไหน จากตัว Testแต่ Code ที่เขียนมา มันจะถูกต้องตาม Business ไหน มันอีกเรื่องนะ เราดู Coverage ยังไง ? Code Coverage Type ก่อนที่เราจะมาจัดกลุ่มจาก Code หยิบยับมากมาย ถ้าใครเรียนสาย SE จะมีการแปลง Code เหล่านั้นออกมาเป็น Graph ซึ่งมีซื่อเรียกว่า Control-Flow Graph เอา Code บรรทัดนั้นๆ มาแปลงเป็น Node ของ Graph ตามตัวอย่างด้านล่าง หลังจากพอเข้าใจเรื่อง Control-Flow Graph มาดูกันว่าในสาย SE เข้าจัด Coverage กันแบบไหนบ้างครับ – Statement Coverage (Line Coverage) – Branch Coverage – Condition Coverage a < b c > 10 true false false true false false true true…