Cybersecurity How To

วันแห่งโปรแกรมเมอร์: เครื่องมือสำหรับตรวจสอบโค้ด

วันของโปรแกรมเมอร์กับเครื่องมือตรวจสอบช่องโหว่

ทุกวันที่ 13 กันยายน หรือวันที่ 256 ของปี อาจเป็นวันธรรมดาของใครๆ แต่สำหรับคนที่ทำงานเกี่ยวกับคอมพิวเตอร์หมายเลข 256 มีความหมาย จำนวนเต็มจาก 0-255 เป็นตัวแทนของ 8-bit byte ทำให้วันที่ 13 กันยายนเป็นวันของโปรแกรมเมอร์

วันนี้เป็นเวลาที่ดีที่จะคิดถึงคนที่ทำงานสร้างโซลูชั่นต่างๆขึ้นมาด้วยโค้ดทำให้เหล่าผู้ใช้เพลิดเพลินกับเทคโนโลยีในทุกๆวัน เราจึงอยากแนะนำเครื่องมือในการตรวสอบโค้ด ในการทำแต่ละขั้นตอน

รู้จักช่องโหว่: กุญแจของความปลอดภัย

ช่องโหว่ความปลอดภัยในซอฟต์แวร์เกิดขึ้นมาใหม่ในทุกๆวัน และอันดับของช่องโหว่ยังคงอยู่มาตลอดห้าปี จากรายงานของ OWASP ที่เปรียบเทียบช่องโหว่ในปี 2017 และ 2013 ทำให้เราพบว่าโปรแกรมเมอร์และผู้พัฒนายังคงทำพลาดมาโดยตลอด

ถ้าหากคุณเป็นนักพัฒนาแอปพลิเคชั่น การรู้จักช่องโหว่ที่อาจเกิดขึ้นกับสิ่งที่คุณกำลังทำอยู่ บนเว็บไซต์ของ OWASP คุณจะพบกับข้อมูลเกี่ยวช่องโหว่และเครื่องมือที่ทำให้คุณสามารถพัฒนาความปลอดภัยของแอปพลิเคชั่นที่คุณทำได้

ตรวจสอบช่องโหว่ในขณะที่เขียน

มีเครื่องมือวิเคราะห์มากมายอย่าง Static Application Security Testing (SAST) ที่ออกแบบมาเพื่อวิเคราะห์โค้ดเพื่อค้นหาช่องโหว่ก่อนถึงเวลาประมวลผล

โซลูชั่น SAST สามารถทำงานร่วมกับสภาพแวดล้อมการทำงานของโปรแกรมเมอร์ได้หลากหลายและใช้เทคนิคการวิเคราะห์ Static Code เพื่อแจ้งเตือนผู้เขียนโค้ดเกี่ยวกับความผิดพลาดและช่องโหว่ ทำให้นักพัฒนาสามารถตรวจสอบโค้ดได้อน่างเสมอต้นเสมอปลาย และพบปัญหาได้ตั้งแต่เนิ่นๆ

ทดสอบความปลอดภัย

ซอฟต์แวร์ทั้งหมดจะต้องผ่านการทดสอบก่อนใช้งานเสมอ แต่นอกจากที่แอปพลิเคชั่นจะต้องไม่ทำงานผิดพลาดแล้ว ความปลอดภัยก็เป็นอีกสิ่งสำคัญ เครื่องมือ Dynamic Analysis Testing (DAST) ตัวช่วยที่ดี เพราะเครื่องมือ DAST สามารถส่งคำขออันตรายเข้าไปในแอปพลิเคชั่น เพื่อตรวจสอบช่องโหว่ด้วยการวิเคราะห์การตอบสนอง

มีเครื่องมือมากมายที่สามารถตรวจสอบความปลอดภัยได้ แต่โชคไม่ดีที่เครื่องเหล่านี้มักต้องเสียเงิน ทำให้เกิดต้นทุน แต่ถ้าคุณอยากลองค้นหาเครื่องมือ ในเว็บไซต์ OWASP มีทางเลือกทั้ง Open-source และ Commercial สำหรับการค้นหาช่องโหว่

Author: Cecilia Pastorino
Source:
https://www.welivesecurity.com/2018/09/13/programmers-day-resources-audit-code/
Translated by: Worapon H.

%d bloggers like this: