ทำไมถึงต้อง Automated Security Testing
ทำไม Automated Security Testing ถึงเริ่มมีการพูดถึงในปีหลังๆมานี้ แม้แต่ในประเทศไทยเอง
การทำ Security Test นั้นต้องอาศัยบุคคลซึ่งมีความชำนาญที่เรียกว่า Pentester ซึ่งการทดสอบระบบนั้นจะเป็นหลังจากที่ระบบได้ทำมาจนเสร็จสิ้นพร้อมที่จะขึ้น Production แล้วดังนั้นปัญหาแรกคือ เรื่อง “ราคา”
การแก้ไขระบบที่ทำเสร็จเรียบร้อยแล้ว มีราคาแพงกว่าการแก้ไขในช่วงเริ่มแรกของ SDLC มันไม่ใช่ราคาแบบการซื้อของหรือขายของ แต่เป็นราคาของเวลาของคนที่ต้องใช้ในการแก้ไข ระบบยิ่งใหญ่ยิ่งต้องใช้เวลาแก้นานขึ้นและทำการทดสอบระบบหลังแก้ไขก็ใช้เวลานานขึ้นด้วยเช่นกัน
ปัญหาที่สองก็คือ “ระบบยิ่งใหญ่เท่าไร ระยะเวลาการแก้ไขและทดสอบระบบยิ่งใช้เวลานานขึ้นแค่นั้น”
ปัญหาถัดมาคือ ทะเลาะกันนะสิ แค่ระหว่าง Dev QA และ Ops ก็พอแล้ว อันนี้เพิ่ม Security Team มาอีก ><
แถมการทดสอบระบบด้วย Pentester นั้น QA และ Dev ก็ไม่ได้เห็นว่าเขาทดสอบกันอย่างไร ซึ่งทำให้ยิ่งเพิ่มความไม่เข้าใจกันมากขึ้นไปอีก
ดังนั้น
ทำไมเราไม่ลองย้าย Security Test มาไว้ในช่วงต้นๆของ SDLC ล่ะ เพื่อลดราคาและเวลาที่ต้องใช้ในการแก้ไข
ทำไมเราไม่นำงานที่ทำซ้ำๆ มาทำ Automate ล่ะ เพื่อลดการทะเลาะกันลง และเพื่อสามารถแสดง Test case ต่างๆ ให้ทีมต่างๆเห็นได้ว่า Security Team เขาคิดจะทดสอบอะไรบ้าง
ขอจบส่วนที่ 1 ไว้เพียงตรงนี้ แต่การทำ Automated Security Testing นั้นเราไม่ใช่แต่เอา Tools มาตั้งอย่างเดียวนะ ยังมีส่วนอื่นๆที่สำคัญมากๆ สำคัญกว่า Tools เสียอีก มันคืออะไรนะ ติดตามได้ในบทความถัดไป “Automated Security Testing คืออะไร”
