วิธีอยู่เหนือความปลอดภัยในปี 2566

การรักษาความปลอดภัยและประสิทธิภาพเป็นรากฐานที่สำคัญสำหรับทุกโครงการ ไซต์ แอป และส่วนประกอบที่คุณพัฒนา แต่ในสภาพแวดล้อมที่เปลี่ยนแปลงตลอดเวลานี้ อาจเป็นเรื่องท้าทายที่จะปฏิบัติตามแนวปฏิบัติที่ดีที่สุดขั้นพื้นฐานในขณะเดียวกันก็สร้างสรรค์สิ่งใหม่ ๆ ไปด้วย

ในการสนทนานี้ รับฟังความคิดเห็นจากนักเทคโนโลยีชั้นนำเกี่ยวกับวิธีที่พวกเขาอยู่เหนือการรักษาความปลอดภัยและประสิทธิภาพในปี 2023

ลำโพง:

• Ramadass Prabhakar รองประธานอาวุโสและประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ WP Engine
• Lawrence Edmondson, CTO ที่ Barbarian
• Sergi Isasi, รองประธานฝ่ายผลิตภัณฑ์, ประสิทธิภาพของแอปพลิเคชันที่ Cloudflare
• Tim Nash ที่ปรึกษาด้านความปลอดภัยของ WordPress ที่ timnash.co.uk
• Jimmy Squires, CTO ที่ space150

ถอดเสียง:

RAMADASS: สวัสดีทุกคน ยินดีต้อนรับสู่ Decode รุ่นที่สี่ เป็นเรื่องที่ยอดเยี่ยมมากที่ได้เห็นการเติบโตของผู้เข้าร่วมประชุมในแต่ละปี ในช่วงสองสามปีที่ผ่านมา มีการเปลี่ยนแปลงที่สำคัญในแนวการรักษาความปลอดภัยทั่วทั้งอุตสาหกรรม เราได้เห็นกระดานข่าวทั่วไปเกี่ยวกับการละเมิดความปลอดภัยและความปลอดภัย เนื่องจากเป็นหัวข้อที่มีการพูดคุยกันบ่อยครั้งทั้งกับลูกค้าและนักพัฒนา ดังนั้น วันนี้ เราได้รวบรวมกลุ่มผู้เชี่ยวชาญที่ยอดเยี่ยมในอุตสาหกรรมที่หลงใหลในความปลอดภัย และพร้อมที่จะตอบคำถามของเราและแบ่งปันการเรียนรู้ของพวกเขากับเรา เรามาเริ่มกันที่การแนะนำสั้นๆ เกี่ยวกับผู้ร่วมอภิปรายของเรา ลอเรนซ์ไปหาคุณ

ลอว์เรนซ์ เอดมันสัน: ขอบคุณมากที่มีพวกเรา Lawrence Edmondson นี่ CTO ของ Barbarian Barbarian เป็นหน่วยงานดิจิทัลที่ให้บริการเต็มรูปแบบ เราอยู่ในนิวยอร์ก

RAMADASS: ขอบคุณ ลอว์เรนซ์ ถึงคุณ Sergi

SERGI ISASI: ขอบคุณ ฉันเป็นรองประธานฝ่ายผลิตภัณฑ์ที่ Cloudflare Cloudflare เราสร้างผลิตภัณฑ์ที่ทำให้ทุกสิ่งที่ลูกค้าและพันธมิตรของเรา เช่น WPE เชื่อมต่อกับอินเทอร์เน็ตได้อย่างปลอดภัยและรวดเร็วยิ่งขึ้น และฉันอยู่ที่ซานฟรานซิสโก

ผู้ดำเนินรายการ: ขอบคุณ Sergi และทิมไปหาคุณ

ทิม แนช: ฉันเป็นที่ปรึกษาด้านความปลอดภัยของ WordPress ที่นี่ในสหราชอาณาจักร และโดยพื้นฐานแล้วฉันใช้ชีวิตของฉันเพื่อสร้างความหวาดกลัวให้กับนักพัฒนา

ผู้ดำเนินรายการ: ขอบคุณ และจิมมี่

จิมมี่ สไควเรส: ใช่ ขอบคุณ ฉันอยู่กับ Space 150 ซึ่งเป็นเอเจนซี่ดิจิทัลที่ให้บริการเต็มรูปแบบจากมินนิอาโปลิสและ CTO ที่นั่น

ผู้ดำเนินรายการ: ขอขอบคุณที่ตกลงเข้าร่วมการอภิปรายของเราในวันนี้ ดังนั้นฉันจึงขอเริ่มด้วยการพูดคุยเกี่ยวกับบางสิ่งที่ไม่เหมือนใครที่คุณทำในด้านการรักษาความปลอดภัยในปัจจุบันภายในองค์กรของคุณหรือภายในทีมของคุณ งั้นเรามาเริ่มกันที่ Sergi

SERGI ISASI: ใช่ ฉันจะเล่นบทนำของ Tim ซึ่งเขาทำให้นักพัฒนากลัว สิ่งหนึ่งที่เรากำลังพยายามทำให้มากขึ้นที่ Cloudflare คือการให้ข้อมูลเชิงลึกแก่ลูกค้าของเราเกี่ยวกับการรับส่งข้อมูลและลดภาระการดำเนินงาน ในอดีต ถ้าคุณต้องการค้นหาสิ่งที่อาจส่งผลกระทบต่อเครือข่ายของคุณ สิ่งที่อาจถูกโจมตีที่คุณอาจเห็น คุณจะต้องปรับใช้ WAF คุณจะกำหนดให้มันอยู่ในโหมดบันทึก จากนั้นคุณจะต้องให้นักวิเคราะห์ความปลอดภัยตรวจสอบบันทึกและ ดูสิ่งที่ตรวจพบ และปัจจุบันมีทรัพยากรน้อยลงมากในการทำเช่นนั้น

ดังนั้น สิ่งที่เรามุ่งเน้นในปีนี้คือการให้ข้อมูลเชิงลึกแก่ลูกค้าของเราเกี่ยวกับการโจมตีที่เราเห็นบนพวกเขา แม้ว่าพวกเขาจะไม่ได้ใช้ผลิตภัณฑ์ที่จะป้องกันการโจมตีดังกล่าวในปัจจุบันก็ตาม ดังนั้นพวกเขาสามารถรู้ได้ว่าแอปพลิเคชันของพวกเขาอยู่ภายใต้การโจมตีหรืออยู่ในสภาพดีหรือไม่ และนั่นคือสิ่งที่เรามุ่งเน้นในช่วงที่เหลือของปี โดยแนะนำผลิตภัณฑ์ด้านความปลอดภัยทั้งหมดของเราและแจ้งให้ลูกค้าของเราทราบว่าสิ่งที่อาจเกิดขึ้นหรือสิ่งที่เกิดขึ้นจริงบนเครือข่ายของพวกเขา และไม่ว่าพวกเขาจะต้องการบล็อกหรือไม่ก็ตาม

ผู้ดำเนินรายการ: ยอดเยี่ยม ฟังดูมีพลังจริงๆ ฉันรอคอยที่จะได้ยินเพิ่มเติมเกี่ยวกับเรื่องนี้ แล้วทิมล่ะ แล้วตัวคุณล่ะ?

ทิม แนช: ดังนั้นฉันจึงทำงานกับลูกค้าที่แตกต่างกันมากมาย ทั้งเอเจนซี่และเว็บไซต์ขนาดเล็ก และฉันทำการรีวิวโค้ดและรีวิวไซต์มากมาย และจนถึงปีนี้ ฉันไม่เห็นการเติบโตของผู้คนที่ห่วงใยจริงๆ มากจนผู้คนพอใจมากที่ได้รับคำวิจารณ์และเพียงแค่ทำงานที่คุณบอกให้ทำ ดังนั้นหากคุณให้คำแนะนำมากมาย พวกเขาก็แค่ทำตาม แต่ถ้าฉันกลับมาที่ไซต์ในปีหน้า ฉันแค่ให้คำแนะนำเพิ่มเติมแก่พวกเขา ดังนั้นฉันจึงเห็นการเปลี่ยนแปลงอย่างมากในปีที่ผ่านมา ซึ่งผู้คนใส่ใจมากพอที่จะถามคำถามจริงๆ ดังนั้นสำหรับฉัน การตรวจสอบโค้ดจึงถูกโยนทิ้งไปในบรรทัดที่ 6, 4, 2 ของไฟล์นี้ บลาๆ ต้องทำแบบนี้

ฉันได้กำจัดสิ่งเหล่านั้นทั้งหมดและเริ่มมุ่งเน้นไปที่การศึกษาจริงๆ และตระหนักว่า พูดตามตรง สิ่งที่คนส่วนใหญ่ต้องการนั้นไม่ต้องบอก คุณต้องแก้ไขบรรทัดนี้ แต่ที่ต้องบอกไว้ นี่คือวิธีแก้ไข ทุกบรรทัดที่อยู่ตรงนั้น สำหรับฉันแล้ว การเปลี่ยนแปลงครั้งใหญ่และจุดสนใจสำคัญอยู่ที่การศึกษา และนี่คือสิ่งที่ครอบคลุมทั่วทั้งอุตสาหกรรม ฉันคิดว่าปีนี้มีคนพูดถึงความปลอดภัยมากขึ้นเรื่อย ๆ มากกว่าปีที่แล้ว และมากขึ้นเรื่อย ๆ จากปีก่อน ๆ

MODERATOR: ไม่ นั่นวิเศษมาก ฉันชอบจุดเน้นของการเปลี่ยนจากการให้ปลาคุณเป็นการสอนวิธีจับปลา นั่นคือจริงๆ—

ทิม แนช: ฉันพยายามหลีกเลี่ยงการเปรียบเทียบนั้นด้วยค่าใช้จ่ายทั้งหมดสำหรับการพูดซ้ำซากจำเจ

ผู้ดำเนินรายการ: ขอบคุณ

ทิม แนช: ทำได้ดีมาก

ผู้ดำเนินรายการ: เอาล่ะ จิมมี่

JIMMY SQUIRES: ใช่ ฉันคิดว่ามีหลายอย่างมาก ฉันตัดสินใจที่จะมุ่งเน้นไปที่สิ่งที่เฉพาะเจาะจงจริงๆ เพื่อพูดคุยเกี่ยวกับคำตอบนี้ และนั่นเป็นการจำกัดขอบเขตของคุณเมื่อคุณจัดการกับโทเค็น API และการเข้าถึง ฉันคิดว่าการละเมิดพื้นที่เก็บข้อมูลของ Heroku, GitHub เมื่อปีที่แล้วเป็นเครื่องเตือนใจที่ดีจริงๆ ว่าคุณเป็นผู้ควบคุมสิ่งต่างๆ มากมายเท่านั้น ดังนั้น เมื่อเราทำงานร่วมกับนักพัฒนาของเรา ให้เตือนพวกเขาถึงความสำคัญของนโยบายการเข้าถึงแบบกำหนดขอบเขตบนแพลตฟอร์มหรือระบบใดก็ตามที่คุณอาจใช้งานด้วย หลายครั้งที่นักพัฒนาต้องการการเข้าถึงแบบเปิดกว้างตั้งแต่เนิ่นๆ ในการพัฒนาเพื่อความสะดวก และบางครั้งสิ่งที่เราอาจรู้สึกละอายใจที่จะยอมรับ สิ่งเหล่านี้ไม่ได้ถูกทำให้รัดกุมจนถึงระดับที่ควรจะเป็นก่อนการผลิต ดังนั้นควรเริ่มต้นตั้งแต่เนิ่นๆ โดยพิจารณาถึงขอบเขตความปลอดภัยเหล่านั้น

ผู้ดำเนินรายการ: ขอบคุณ จิมมี่ และลอว์เรนซ์ ฉันรู้ว่าคุณทำงานหลายอย่างร่วมกับนักพัฒนา แล้วคุณกำลังมองหาอะไรอยู่ข้างหน้านั่น?

ลอว์เรนซ์ เอดมันสัน: ใช่ แน่นอน แค่ต่อยอดจากที่จิมมี่พูด แน่นอนว่าเราทั้งคู่ทำงานด้านโฆษณา ฉันคิดว่าเราเห็นความท้าทายหลายอย่างเหมือนกันเมื่อคุณทำงานด้านโฆษณากับการทำงานในสภาพแวดล้อมของผลิตภัณฑ์ สำหรับเรา เราสัมผัสกับเทคโนโลยีต่างๆ มากมาย กองเทคโนโลยีที่แตกต่างกันมากมาย เราต้องไม่เชื่อเรื่องพระเจ้าในทางเทคนิค สิ่งที่เราเห็นคือตอนนี้ผู้บริโภคมีส่วนร่วมหลายวิธีผ่านอุปกรณ์เคลื่อนที่และโซเชียล ไม่กี่ปีที่ผ่านมา เดสก์ท็อปเป็นวิธีหลักในการเข้าถึงไซต์และเนื้อหา ตอนนี้พลิกหมดแล้ว มันเปลี่ยนจากเดสก์ท็อปเป็นมือถือเป็นโซเชียล

ดังนั้น เลเยอร์ API ของคุณและเลเยอร์แอปพลิเคชันของคุณจะต้องถูกล็อคในลักษณะที่มีความหวาดระแวงเล็กน้อยที่เกี่ยวข้อง ดังนั้นสิ่งที่เราเห็นคือสเปกตรัมการโจมตีกำลังเพิ่มขึ้น ดังนั้นเราจึงค้นหาวิธีใหม่ๆ อย่างต่อเนื่องในการทำให้ DevOps คิดเหมือนโปรแกรมเมอร์ เพื่อให้พวกเขาเข้าใจวิธีที่เป็นไปได้สำหรับสิ่งที่จะถูกละเมิด นั่นคือสิ่งที่เรากำลังทำในวันนี้

ผู้ดำเนินรายการ: ขอบคุณสำหรับสิ่งนั้น และคุณพูดถึงว่าเวกเตอร์การโจมตีเพิ่มขึ้นอย่างไร และนั่นคือสิ่งที่เรามีที่นี่ ที่ WP Engine ได้ศึกษาเพิ่มเติมจากวิธีที่คุณนำกลไกการป้องกันเชิงลึกมาใช้ ดังนั้นอย่าวางใจว่าเลเยอร์ใดจะปลอดภัย แล้วคุณจะรวมมันเข้ากับวิธีที่คุณเขียนโค้ดและวิธีที่คุณเขียนซอฟต์แวร์ได้อย่างไร ขอบคุณมากสำหรับสิ่งนั้น ตามที่ทุกท่านได้พูดถึงแนวโน้มการเปลี่ยนแปลงที่เกิดขึ้นในนั้น การละเมิดที่เกิดขึ้นในปีที่ผ่านมานี้ เมื่อคุณดูในปี 2023 ประเด็นสำคัญหรือภัยคุกคามใดบ้างที่พวกคุณทุกคนให้ความสนใจ และบางที Sergi คุณสามารถเริ่มเราได้ ใช่.

SERGI ISASI: แน่นอน และนี่อาจฟังดูงี่เง่าเพราะเป็นปี 2023 และฉันจะพูดว่าคำว่า DDOS แต่มันก็ยังเป็นเรื่องอยู่ และมันเป็นการเปลี่ยนแปลงที่น่าสนใจจริงๆ ในช่วง 9 หรือ 12 เดือนที่ผ่านมาในโลกของ DDOS ทุกวันนี้ Volumetric ไม่ใช่เวกเตอร์ DDOS มากนัก มีแสงสะท้อนน้อยกว่ามาก และจากมุมมองของผู้คุกคาม การเปิดใช้ DDOS นั้นง่ายกว่าทั้งคู่เพราะคุณมีเครื่องมือที่หาซื้อได้ทั่วไปมากมาย จริงไหม? เราเกือบจะกลับไปใช้สคริปต์ TD วัน แต่คุณยังมีระบบที่ถูกบุกรุกให้โจมตีน้อยลงมาก ดังนั้นหากคุณลองทบทวนดู มีโครงสร้างพื้นฐานไม่มากนักที่จัดการโดยคนที่อาจไม่ได้แพตช์ระบบ ดังนั้นคุณจึงเปลี่ยนแพ็กเก็ตหนึ่งแพ็กเก็ตเป็น 10 ได้ นั่นไม่ใช่เรื่องสำคัญอีกต่อไปแล้ว

ดังนั้นพวกเขาจึงย้ายไปที่เลเยอร์ 7 และเลเยอร์ 7 นั้นมีราคาแพงกว่าในการเปิดใช้ เนื่องจากคุณต้องใช้ CPU จำนวนมากในการดำเนินการนี้ แต่การลดระดับลงก็มีราคาแพงกว่ามากเช่นกัน ดังนั้น หากคุณมีระบบป้องกัน DDOS บางอย่าง คุณต้องยอมรับการเชื่อมต่อ ตรวจสอบมัน แล้วเริ่มทิ้งมัน เทียบกับบางสิ่งที่คุณทำได้ที่เลเยอร์ที่ต่ำกว่า สิ่งที่เราพบและเราได้ลด DDOS เลเยอร์ 7 ที่ใหญ่ที่สุดที่รายงานเมื่อเดือนที่แล้ว ประเด็นใหญ่ของการโจมตีเหล่านั้นคืออุปกรณ์ที่มีประสิทธิภาพมากกว่า

ดังนั้นหากคุณนึกถึงทุกสิ่งที่เราเสียบปลั๊กไว้ที่บ้านในปัจจุบัน โปรเซสเซอร์บนอุปกรณ์นั้นดีกว่าเมื่อสามหรือสี่ปีที่แล้วอย่างเห็นได้ชัด กล้องของคุณจึงทำอะไรได้อีกมาก ดังนั้นจึงมี CPU ที่แข็งแรงกว่า แม้แต่เราเตอร์ของคุณก็เป็นเครื่องที่ค่อนข้างแรง และการประนีประนอมกับอุปกรณ์เหล่านั้นอาจทำให้เกิดการโจมตีครั้งใหญ่ โดยเฉพาะอย่างยิ่งเมื่อคุณประนีประนอมอุปกรณ์ใดอุปกรณ์หนึ่ง เท่ากับว่าคุณประนีประนอมอุปกรณ์ทั้งหมดที่เชื่อมต่ออยู่โดยพื้นฐานแล้ว

สิ่งอื่นที่เราพูดถึงกันเล็กน้อยในทุกวันนี้ แต่ที่เงียบกว่านั้นก็คือ เราได้ย้ายจากอุปกรณ์ฮาร์ดแวร์ที่ถูกบุกรุกไปยังบัญชีที่ถูกบุกรุกในบริการคลาวด์ บริการคลาวด์มี CPU ไม่จำกัดอย่างมีประสิทธิภาพ ดังนั้นหากฉันสามารถเข้าถึงบัญชีบุคคลหรือบริษัทจำนวนมากและหมุนอะไรก็ได้ที่ฉันต้องการในระบบคลาวด์นั้น ฉันก็สามารถเปิดการโจมตีครั้งใหญ่ได้ และนั่นคือสิ่งที่เราเห็นในการทำลายสถิติการโจมตี ใช่แล้ว ในปี 2023 DDOS ยังคงเป็นสิ่งหนึ่ง แต่ตอนนี้อยู่ที่เลเยอร์ 7 เทียบกับเลเยอร์ล่าง

ผู้ดำเนินรายการ: ขอบคุณ น่ากลัว แต่ในขณะเดียวกัน ฉันคิดว่ามันชี้ให้เห็นถึงวิธีที่เราจะปรับปรุงโปรโตคอลความปลอดภัยของเราอย่างต่อเนื่อง และพื้นที่โฟกัสยังคงเติบโตต่อไป ฉันรู้ ลอว์เรนซ์ คุณกับฉันเคยคุยกันในอดีตว่า AI เป็นทั้งความเจริญและภัยคุกคาม ฉันชอบที่จะได้ยินความคิดของคุณเกี่ยวกับ AI เชิงกำเนิด และคุณเห็นว่าสิ่งนี้ส่งผลกระทบต่อพื้นผิวของการรักษาความปลอดภัยในปี 2023 อย่างไร

ลอว์เรนซ์ เอ็ดมอนด์สัน: ดังนั้นฉันจึงตื่นเต้นมาก เชื่อมั่นใน AI มาก เราอยู่ที่คนเถื่อน แต่ในขณะเดียวกันก็น่ากลัวมาก ศักยภาพของบางอย่างเช่น chatGPT ถูกใช้ในทางที่เป็นอันตราย ตัวอย่างเช่น คุณสามารถให้ Chat GPT แสดงความคิดเห็นโค้ดของคุณ และมันก็ทำงานได้ค่อนข้างดี ขึ้นอยู่กับภาษาและความยุ่งเหยิงของโค้ดของคุณ มันทำงานได้ดีทีเดียว ดังนั้นสิ่งต่อไป ฉันคิดว่าเราจะเห็นสำหรับ Chat GPT– และสิ่งนี้อาจกำลังดำเนินการอยู่ เพราะทุกวัน Chat GPT ทำสิ่งนี้ อย่างวันนี้เพิ่งเห็นว่ามันตอบใน Slack ได้ แล้วหาคำตอบใน Slack ได้ด้วย

ดังนั้นฉันคิดว่าสิ่งต่อไปในแง่ของความปลอดภัยใน Chat GPT คือให้ Chat GPT ค้นหาช่องโหว่และเขียนโค้ดไปยังโค้ดที่เป็นอันตรายเพื่อใช้ประโยชน์จากจุดอ่อนที่พบ เราเห็นสิ่งนั้น โดยเฉพาะศักยภาพของมันในหน่วยความจำ ดังนั้นการโจมตีหน่วยความจำจึงไม่ทิ้งลายเซ็นไว้ตลอดเวลา ดังนั้นไวรัสและโปรแกรมสแกนไวรัสแบบดั้งเดิมจึงทำงานเพื่อค้นหาลายเซ็นของการโจมตี คุณกำลังโจมตีแอปพลิเคชันภายในหน่วยความจำ คุณกำลังทำบางอย่าง เช่น บัฟเฟอร์ล้น คุณกำลังหาทางประนีประนอมแอปพลิเคชันในขณะรันไทม์ ฉันคิดว่า Chat GPT พร้อมที่จะทำเช่นนั้นจริงๆ และฉันคิดว่ามันเป็นเพียงเรื่องของเวลาจนกว่าเราจะเห็นการใช้ประโยชน์จาก ChatGPT ขนาดใหญ่ครั้งแรกเกิดขึ้น

ทิม แนช: คุณจินตนาการว่ามันเกิดขึ้นจริงได้อย่างไร? เพราะเห็นได้ชัดว่า ChatGPT เป็นหัวใจหลัก เป็นเพียงชุดของคำขอ API ที่ส่งไปยังเซิร์ฟเวอร์ และคุณกำลังส่งคำขอที่ระบุว่า เฮ้ สร้างรหัสที่เป็นอันตรายให้ฉัน มันคืนกลับมา ฉันหมายความว่ามีผู้คนจำนวนมากที่สร้างโค้ดอันตรายไว้แล้ว คุณจะทำให้สิ่งนั้นแย่กว่ารหัสที่เป็นอันตรายที่มีอยู่แล้วได้อย่างไร

ลอว์เรนซ์ เอดมันสัน: นั่นคือสิ่งที่แน่นอน มีพื้นที่เก็บข้อมูลขนาดใหญ่ให้เรียนรู้แล้ว ดังนั้น ChatGPT มันทำอะไร มันดูจริง ๆ คุณต้องฝึกโมเดล เมื่อเวลาผ่านไป วิศวกรจะฝึกฝนโมเดลให้รับรู้เมื่อมีคนพูดสิ่งนี้ ซึ่งจริงๆ แล้วนี่คือความหมายที่แท้จริง ดังนั้นเข้าใจบริบท มันเป็นเช่นนั้นจริง ๆ แต่ในทางที่ต่างออกไป เป็นการฝึกโมเดลให้เขียนโค้ดจริง ๆ และความหมายจริง ๆ และบางภาษาก็ง่ายมาก PHP ดังนั้นการเขียนโค้ดใน PHP ค่อนข้างง่าย ภาษาที่ตีความเหล่านี้ง่ายกว่ามาก มันยุ่งกว่ามาก แต่เมื่อเทียบกับการทำบางอย่างใน Java ซึ่งต้องคอมไพล์ คุณรู้ไหมว่าฉันหมายถึงอะไร

ดังนั้น ฉันคิดว่าวิธีง่ายๆ ที่จะทำก็คือสร้างโมเดลตาม chatGPT 3 ซึ่งจริงๆ แล้ว คุณฝึกมันจนเป็นจริงๆ ได้ คุณเข้าใจเรื่องไวยากรณ์ คุณเข้าใจเรื่องวิทยาการคอมพิวเตอร์พื้นฐานทั้งหมด แล้วคุณก็นำไปใช้ ก้าวขึ้นไป โอเค แพ็คเกจ NPM เหล่านี้มีช่องโหว่เหล่านี้ มองหามันและหาวิธีที่จะ- พวกเขามีช่องโหว่เหล่านี้ ฉันขอโทษ และมองหาวิธีที่จะใช้ประโยชน์จากช่องโหว่เหล่านั้น ฉันรับประกันได้เลยว่าเราอยู่ไม่ไกลเกินกว่าที่จะได้เห็นอะไรแบบนั้นเกิดขึ้น

ผู้ดำเนินรายการ: ขอบคุณ ลอว์เรนซ์ ฉันคิดว่ามันเป็นเขตตั้งไข่มาก สิ่งที่น่าสนใจในพื้นที่นี้ก็คือ AI นั้นโดยทั่วไปแล้ว มันมีทั้งความสมดุลของสิ่งที่คุณสามารถนำไปใช้ประโยชน์ได้ ไม่ว่าจะเป็นการใช้ลายเซ็นเหล่านี้จริง ๆ เพื่อป้องกัน และเรียนรู้จากมันเพื่อดูว่าคุณจะป้องกันเราได้อย่างไร การเขียนโค้ดที่ไม่ดีหรือโค้ดที่มีช่องโหว่ และในขณะเดียวกัน ก็เหมือนกับที่เราได้เห็นผู้คนพูดถึง เฮ้ ฉันเขียนปลั๊กอินตัวแรกในเวลา 5 นาทีด้วย Chat GPT ฉันคิดว่าใช่ มันเกี่ยวกับการเริ่มต้นทำให้ผู้คนสร้างมัลแวร์ได้เล็กน้อย เร็วขึ้น? แต่เราว่ามันมีทั้งสองด้านนะ

มันเกี่ยวกับวิธีที่คุณจะใช้ประโยชน์จากเครื่องมือเหล่านี้ต่อไปเพื่อให้เขียนโค้ดได้ดีขึ้น แต่เขียนโค้ดที่ปลอดภัยมากขึ้น และฉันรู้ว่าทิม นั่นเป็นสิ่งที่คุณหลงใหล คุณต้องการพูดคุยเพิ่มเติมอีกเล็กน้อยเกี่ยวกับวิธีที่คุณเห็น Secure Code พัฒนาขึ้นในปี 2023 และสิ่งที่คุณกำลังทำในพื้นที่นั้น

ทิม แนช: ฉันหมายถึงหลายๆ แง่มุม Chat GPT เป็นตัวอย่างที่ดีในเรื่องนั้น ถ้าฉันกำลังคิดถึงเวกเตอร์โจมตี ฉันพูดตามตรง ฉันไม่ได้คิดว่าจะทำการสแกนจำนวนมาก ให้อาหารมันหลายอย่างในฐานะนักแสดงที่ไม่ดี ฉันคิดว่ามันเป็นนักพัฒนาโค้ดทั่วไปที่พยายามประหยัดเวลาและป้อนเนื้อหาลงใน Chat GPT และทิ้งมันออกไป และไม่จำเป็นต้องเข้าใจโค้ดทั้งหมดที่กำลังเขียน กำลังผลิต และยังไม่ได้เขียนการทดสอบใดๆ ไปกับมัน นี่เป็นเพียงเรื่องสั้น ๆ เป็นเพียงสคริปต์สั้น ๆ ไม่เป็นไร เข้าสู่กระบวนการผลิต ใช้งานไม่ได้ และไหม้ทั้งหมด

ตอนนี้มันเหมือนกับสิ่งที่นักพัฒนาทุกคนทำทุกวัน โดยไม่คำนึงว่า Chat GPT ไม่ได้เปลี่ยนแปลง แต่เปิดใช้งานได้ง่ายขึ้นเล็กน้อย มันให้ - มีอุปสรรคน้อยกว่า

SERGI ISASI: ใช่ มันไม่เหมือนกับการคัดลอกและวางจาก Stack Overflow ซึ่งฉันคิดว่านั่นคือสิ่งที่คุณหมายถึง Tim ซึ่งโดยพื้นฐานแล้วฉันทำเพื่อโค้ดทั้งหมด แต่ผมว่าประสิทธิภาพมันเพิ่มขึ้นแน่นอนทั้งบวกและลบ แต่ฉันคิดว่ามันช่วยให้มีการเปลี่ยนแปลงที่ละเอียดมากขึ้นและการใช้ประโยชน์จากบางสิ่งที่เร็วกว่าซึ่งเอ็นจิ้นที่ใช้ลายเซ็นไม่สามารถตามทันได้ ดังนั้น เมื่อคุณทำการตรวจจับ จำเป็นต้องมีระบบที่บอกว่า มันดูคล้ายกับสิ่งที่ฉันเคยเห็นในอดีตหรือไม่ แทนที่จะจับคู่โดยตรงกับสิ่งที่ฉันเคยเห็นในอดีต และนั่นคือในด้านการตรวจจับและน่าจะให้บริการได้ดีที่สุดกับ ML หรือ AI หรือสิ่งที่คุณต้องการเรียก

เราได้เรียนรู้ว่าเมื่อเปิดใช้งานการรับส่งข้อมูลอัตโนมัติ บอทโดยพื้นฐานแล้ว วิธีที่ดีที่สุดในการเรียนรู้วิธีที่พวกเขาหลีกเลี่ยงการตรวจจับตามลายเซ็นคือการใช้ ML แต่ตอนนี้คุณกำลังย้ายจาก ฉันรู้อย่างแน่นอนว่าสิ่งนี้ไม่ดี เป็นไปได้ว่ามันน่าจะเป็นแบบอัตโนมัติ หรือดูเหมือนลายเซ็นที่ฉันเคยเห็นมาก่อน แต่ไม่ตรงกันทุกประการ

ผู้ดำเนินรายการ: ยอดเยี่ยม ขอบคุณ ขอบคุณ Sergi และ Tim สำหรับบริบทเพิ่มเติมนั้น ดังนั้นในบรรดาผู้เข้าร่วมประชุม เรามีนักพัฒนาซอฟต์แวร์และเอเจนซี่จำนวนมากที่มาร่วมงานในวันนี้ และผู้คนจำนวนมากกำลังคิดเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุด โดยเฉพาะอย่างยิ่งเมื่อสถานการณ์กำลังเปลี่ยนแปลงในแง่ของพาหะของภัยคุกคาม แล้วแนวทางปฏิบัติที่ดีที่สุดใดบ้างที่คุณจะแนะนำเมื่อสร้างไซต์ แอปหรือแพลตฟอร์ม หรือเมื่อคุณเริ่มต้นในโครงการใหม่ แล้วมีอะไรบ้างที่คนควรระวัง?

SERGI ISASI: ดังนั้นฉันสามารถเริ่มต้นได้ น่าจะเป็นด้านปฏิบัติการมากกว่าด้านการพัฒนา ฉันคิดว่าสิ่งหนึ่งที่เราประกาศในที่นี้คือ หนึ่ง สมมติว่าสิ่งเลวร้ายจะเกิดขึ้น ช่องโหว่กำลังจะมา คุณอย่าเพิ่งตกใจไปกับมัน มีแนวโน้มที่จะเกิดขึ้นในจุดหนึ่ง และกุญแจสำคัญของเรา หนึ่ง สร้างหนังสือดำเนินการสำหรับสิ่งนั้น ดังนั้นเมื่อมันเกิดขึ้น ให้รู้ว่าต้องติดต่อบุคคลใดและการตอบสนองของคุณจะเป็นอย่างไร ทั้งจากการตรวจจับและการตอบสนอง แต่ยังต้องสื่อสารกับลูกค้าของคุณหากมีผลกระทบต่อพวกเขา และในท้ายที่สุด สิ่งที่เราคิดว่าทำได้ดีมากที่ Cloudflare และเป็นส่วนหนึ่งของแบรนด์ของเรา และฉันคิดว่ามันให้บริการเราเป็นอย่างดีคือการตรงไปตรงมา เปิดเผย และสื่อสารเท่าที่คุณจะทำได้เกี่ยวกับอะไรก็ได้ ที่เกิดขึ้น.

การเปิดกว้างเป็นกุญแจสำคัญในการสร้างความไว้วางใจให้กับลูกค้าอีกครั้งเมื่อมีบางสิ่งเกิดขึ้น ไม่ว่าจะเป็นการละเมิดซอฟต์แวร์หรือข้อผิดพลาดบางอย่างที่คุณทำในแง่ของเหตุการณ์ การซ่อนตัวอยู่ข้างหลังนั้นไม่ใช่การเรียกที่ถูกต้อง

ผู้ดำเนินรายการ: ใช่

JIMMY SQUIRES: ฉันคิดว่าอย่างอื่นก็เช่นกัน – ตอนนี้ทุกคนอยู่ห่างไกลกันอย่างเห็นได้ชัดและโดยเฉพาะอย่างยิ่งในทีมพัฒนา กำลังใช้เวลาในการเริ่มต้นโครงการเพื่อวางแผนไวท์บอร์ดและสถาปัตยกรรม มันง่ายมากที่จะดำดิ่งลงไปในข้อกำหนดและเลิกสนใจเรื่องราวการพัฒนา แต่ใช้เวลากับเพื่อนของคุณเพื่อท้าทายว่าจะนำสิ่งนี้ไปใช้ประโยชน์ได้อย่างไร วิ่งผ่านสถานการณ์ เราทำการวางแผนสถานการณ์ต่างๆ มากมายซึ่งนำไปสู่การสนทนาที่ดีกับหลายๆ ฝ่าย วิธีที่เราต้องการเสริมส่วนต่างๆ ของแอปพลิเคชัน

ลอว์เรนซ์ เอดมันสัน: และในเรื่องนั้น ฉันไม่รู้ว่ามีใครรู้หรือไม่ แต่จริงๆ แล้ว MPM เป็นที่เก็บที่ใหญ่ที่สุดของการแชร์ – เป็นที่เก็บเดียวที่ใหญ่ที่สุดของไลบรารีแอปพลิเคชันที่มีอยู่ แต่นั่นหมายความว่ามันมีความเสี่ยงมากที่สุดด้วย สิ่งหนึ่งที่เราตระหนักเป็นอย่างดีเมื่อเริ่มโครงการใหม่ หากเราใช้ NPM คือการทำให้แน่ใจว่าเรากำลังดูช่องโหว่ เรากำลังล็อคเวอร์ชันที่เราพุชไปยังผลิตภัณฑ์ ก่อนที่เราจะ 'กำลังทำการอัปเดต เราตรวจสอบให้แน่ใจว่าเป็นสิ่งที่เข้ากันได้ แต่ยังปลอดภัยมากด้วย ไม่มีภัยคุกคามแบบเปิดเนื่องจากเราพบช่องโหว่มากมายที่คืบคลานผ่าน NPM นั่นเป็นเพียงสิ่งเดียวที่ต้องระวัง

ทิม แนช: ผมคิดว่าเรากำลังวนลูปไปเรื่อยๆ

จิมมี่ สไควเรส: เอาเลย ทิม

ทิม แนช: ผมคิดว่าเรากำลังวนลูปกับความคิดที่ว่า จริงๆ แล้ว ความเชื่อใจกำลังถูกทำลายอย่างสิ้นเชิงในวงจรการพัฒนาเป็นเวลาหลายปี คนเพิ่งมารู้ตอนนี้ และถ้าคุณเป็นนักพัฒนา PHP ที่ทำงานบน WordPress เช่น คุณนั่งอยู่ที่นั่นเพื่อเรียกใช้การดำเนินการและตัวกรอง แต่คุณไม่ควรเชื่อถือการกระทำและตัวกรองเหล่านั้น ข้อมูลใด ๆ ที่เข้ามา คุณควรตรวจสอบ คุณควรตรวจสอบ ควรได้รับการฆ่าเชื้อ แต่เมื่อมันออกมาจากฐานข้อมูล คุณยังไม่ควรเชื่อถือมัน

แม้ว่าคุณอาจใส่ข้อมูลนั้นลงในฐานข้อมูล แต่คุณก็ไม่ควรเชื่อถือข้อมูลที่ออกมา หากเราส่งบางสิ่งไปยังไลบรารีของบุคคลที่สาม ไม่ว่าจะเป็น NPM นั้น เป็นแพ็คเกจผู้แต่งนั้น หรือเพียงแค่ปลั๊กอิน WordPress อื่น ทันทีที่เราควบคุม เราจะไม่เชื่อสิ่งนั้นอีก แต่เมื่อมันกลับมาถึงแม้เราจะตรวจสอบแล้วก็ยังไม่วางใจ และถ้าคุณทำตามความคิดนั้น ในฐานะนักพัฒนา ที่ว่าข้อมูลทุกชิ้นไม่ควรเชื่อถือได้และควรถูกแยกออกจากกันตลอดทาง และคุณควรทำการตรวจสอบความปลอดภัยในทุกจุดที่กำหนด คุณจะพบว่า ด้วยระบบที่ปลอดภัยกว่ามาก คุณอาจออกมาพร้อมกับระบบที่ช้าลงเล็กน้อย คุณอาจพบกับระบบที่น่าหงุดหงิดกว่าเล็กน้อย และระบบที่ต้องการการทดสอบอีกมากเพื่อให้แน่ใจว่าสิ่งที่คุณกำลังทำอยู่ไม่ได้ก่อให้เกิดปัญหามากไปกว่าการช่วย

ผู้ดำเนินรายการ: ใช่

ทิม แนช: เพิ่มความซับซ้อน แต่คุณจะได้ระบบที่ปลอดภัยกว่ามาก และสำหรับคนส่วนใหญ่ นั่นคือสิ่งที่พวกเขาต้องการ

ลอว์เรนซ์ เอดมันสัน: ใช่

ผู้ดำเนินรายการ: ใช่ คุณพูดถูกอย่างแน่นอน มันเกี่ยวกับการไม่ไว้วางใจโค้ดส่วนอื่นๆ ที่ผ่านเข้ามา และสิ่งที่จิมมี่และเซอร์กี้พูดถึงก็คือการมีแผนและจากมุมมองของสถาปัตยกรรมหรือจากมุมมองของการปฏิบัติงาน แต่การนำทั้งหมดนั้นมารวมกันในแนวทางปฏิบัติโดยรวมของคุณ ไม่ว่าจะเป็นกลไกการเข้ารหัสที่ปลอดภัยหรือการมีคู่มือเหตุการณ์ ทิม ฉันสนใจที่จะรับฟังความคิดเห็นจากคุณมากขึ้น คุณฝึกฝนมามาก คุณสอนมามากมายทั่วโลก อะไรคือข้อผิดพลาดทั่วไปที่คุณเห็นเมื่อผู้คนเริ่มทำงานในโครงการ หรือข้อผิดพลาดที่คุณอาจทำ ฉันได้ทำมันไว้มากมาย

ทิม แนช: ฉันกำลังจะบอกว่า ฉันค่อนข้างมั่นใจว่าฉันมีความผิดในทุกๆ ความผิดพลาดที่ฉันกำลังจะพูดถึง และสิ่งที่ยิ่งใหญ่ที่สุดและเรียบง่ายที่สุดคือการเป็นคนดี นักพัฒนาส่วนใหญ่ถือว่ามีเจตนาดี คนส่วนใหญ่คิดว่าคุณกำลังจะใช้แอปพลิเคชันของพวกเขาตามที่คุณเขียนแอปพลิเคชัน บ่อยครั้งที่เราไม่ได้เขียนเอกสารประกอบ ดังนั้นผู้ใช้จึงไม่รู้ว่าจะใช้แอปพลิเคชันอย่างไรในตอนแรก แต่นั่นเป็นปัญหาแยกต่างหาก นักแสดงที่ไม่ดีจะเข้ามาและรับข้อผิดพลาดใด ๆ และไป นั่นไม่ใช่ข้อผิดพลาด สำหรับนักแสดงที่ไม่ดี นั่นเป็นคุณสมบัติ นั่นเป็นโอกาส มันทำบางสิ่งที่ผู้พัฒนาไม่คาดคิด ดังนั้นจึงมีเส้นทางที่เป็นไปได้

และโดยรวมแล้ว สิ่งที่คุณเห็นครั้งแล้วครั้งเล่า เมื่อคุณพูดว่า โอ้ ดูสิ คุณมีชุดการทดสอบหน่วย โอ้เยี่ยมมาก แต่คุณได้ทดสอบเฉพาะสิ่งที่เป็นบวก ผลลัพธ์ที่คุณต้องการ คุณยังไม่ได้ทดสอบว่าจะเกิดอะไรขึ้นหากเราไปนอกขอบเขตเหล่านี้ คุณเพิ่งทดสอบเพื่อให้แน่ใจว่าสิ่งนี้ทำงานได้ตามที่เจ้านายของคุณต้องการ ดังนั้นสิ่งที่คุณมีจริงๆ คือการทดสอบการยอมรับ การทดสอบการยอมรับที่น่าสงสัย จากนั้นจะกลับลงมาที่พื้นฐานทั้งหมด ในฐานะนักพัฒนา มันถูกสำรองไว้สำหรับสิ่งนี้ อย่าไว้ใจสิ่งต่างๆ และถ้าคุณเป็นนักพัฒนา WordPress โดยเฉพาะอย่างยิ่ง WordPress มีฟังก์ชั่นตัวช่วยที่ดีมากสำหรับทำสิ่งความปลอดภัยมาตรฐานที่เราขอให้คนอื่นทำ

และเกี่ยวกับการให้ความรู้และการเรียนรู้ที่จะใช้มัน เมื่อฉันทำการรีวิวโค้ด ฉันจะเจอปัญหาเดิมๆ ซ้ำแล้วซ้ำเล่า และถ้าฉันเห็นมัน 1 ครั้งในโค้ดชุดเดียว ฉันจะเห็น 1,000 ครั้งในโค้ดชุดเดียวกัน และจะเป็นเช่น อืม เราเพิ่งอนุญาตให้เนื้อหาเก่าๆ ปรากฏบนหน้าเพจได้ เราไม่ได้สนใจที่จะตรวจสอบว่ามีอะไรอยู่ในนั้นหรือไม่ ใช่ เราใส่ข้อมูลลงในฐานข้อมูล ดูสิ มันอาจดูเหมือนแบบสอบถาม SQL แต่อาจไม่ใช่

สิ่งเหล่านี้แก้ไขได้ง่ายและเราได้จัดเตรียมเครื่องมือในการแก้ไขไว้ให้แล้ว และเหตุผลที่เราไม่แก้ไขก็มักจะไม่ใช่ว่าผู้คนไม่รู้ว่าพวกเขาไม่ควรปล่อยให้สิ่งเหล่านี้เกิดขึ้น เพียงแค่เราขี้เกียจ เรากำลังทำสิ่งต่างๆ อย่างรวดเร็ว เรากำลังคว้าโค้ดจาก Stack Overflow เรากำลังให้ Chat GPT ทำสิ่งต่างๆ ให้เรา เราไม่ได้ตรวจสอบสิ่งต่างๆ ผ่าน และปัญหาด้านความปลอดภัยจำนวนมากมาจากสถานะนี้ ฉันต้องรีบ ฉันต้องรีบ ฉันต้องรีบ ฉันต้องทำสิ่งนี้ให้เสร็จ ฉันกำลังก้าวไปสู่สิ่งต่อไป ฉันกำลังก้าวไปสู่สิ่งต่อไป

น่าแปลกมาก สำหรับนักพัฒนาจำนวนมาก จริงๆ แล้วแค่ให้เวลาและพื้นที่กับพวกเขา แล้วพูดว่า มันโอเคที่จะใช้เวลาในการตรวจสอบสิ่งที่คุณได้ทำลงไป เพื่อที่ว่าเมื่อมันจบลง – และในกรณีที่ฉันเข้ามามีบทบาท ฉันจะกลับมาบอกว่า อืม สิ่งเหล่านี้และนักพัฒนาก็ดูขี้อาย พวกเขากำลังจะไป ใช่ เรารู้ทั้งหมดนี้ เราไม่มีเวลา

หวังว่าจะให้เวลากับผู้คนมากขึ้นและให้เครื่องมือแก่พวกเขา ซึ่งเรามีอยู่แล้วโดยเฉพาะใน WordPress WordPress มีชุดฟังก์ชันตัวช่วยที่ยอดเยี่ยมสำหรับปัญหาด้านความปลอดภัยทั่วไปส่วนใหญ่ที่คุณมีในปลั๊กอินหรือธีมของ WordPress ดังนั้นจึงเป็นเพียงการเรียนรู้สิ่งเหล่านั้นและลงทุนเวลาเพื่อนำไปใช้จริง

ผู้ดำเนินรายการ: ใช่ และฉันคิดว่ามันทรงพลังมาก ลงทุนเวลา บ่อยครั้งที่นักพัฒนารู้ว่าต้องแก้ไขอะไร ดังนั้นให้เวลาพวกเขา ฉันชอบข้อความนั้นจริงๆ และจิมมี่ ฉันรู้ว่าคุณได้นำสิ่งนี้ไปใช้ในเวิร์กโฟลว์ของคุณเองที่เอเจนซี่ของคุณ คุณต้องการพูดคุยเพิ่มเติมเกี่ยวกับหลักปฏิบัติเวิร์กโฟลว์ที่ปลอดภัยที่คุณนำมาใช้หรือไม่

จิมมี่ สไควเรส: ใช่ แน่นอน และจริงๆ แล้ว มันเริ่มต้นด้วยการมีบางอย่างที่ Sergi บอกว่ากำลังมีแผน มีแนวทางและมาตรฐานให้ทีมพัฒนาของคุณปฏิบัติตาม ฉันรู้ว่าฟังดูธรรมดามาก แต่ฉันเคยเห็นองค์กรหลายแห่งและได้ยินจากวิศวกรจำนวนมากที่เราว่าจ้างในช่วงหลายปีที่ผ่านมาว่าไม่มีอยู่จริง ไม่มีองค์กรในสถานที่ทำงานที่พวกเขามา

สิ่งที่เราต้องการทำคือเรามีชุดแนวทางมาตรฐาน วิศวกรใหม่ของเราทุกคนจำเป็นต้องอ่านทั้งหมดจากบนลงล่าง ไม่หนักจนกินไม่หมด เราต้องการเก็บไว้ในมาร์กอัป ดังนั้นทั้งหมดจึงอยู่ในที่เก็บ เราอาจจะเปิดแหล่งที่มาจริง ๆ ในบางจุด ไม่มีสิ่งใดในนั้นที่เป็นกรรมสิทธิ์จริงๆ และเราขอแนะนำให้ทุกคนมีส่วนร่วมในสิ่งนั้น นั่นคือคำถามสำหรับวิศวกรทุกคน

ดังนั้นแม้ในแนวทางปฏิบัติของเรา ให้อุดช่องโหว่ในจุดที่เราสามารถเพิ่มได้ จุดที่เราสามารถปรับปรุงให้ดีขึ้นได้ และเติบโตอย่างต่อเนื่อง แต่การใช้เวลากับสิ่งนั้น สิ่งพื้นฐานบางอย่างเช่น OWASP นั้นเป็นวิธีปฏิบัติที่เก่าแก่มาก แต่ต้องทำสิ่งนั้นกับใบสมัครของคุณ โดยพิจารณาจากสิ่งเหล่านั้น เป็นสิ่งที่ทิมพูด มันต้องใช้เวลาจริงๆ และก็โอเคที่จะใช้เวลากับสิ่งนั้น ฉันต้องการเพิ่มจุดพิเศษหนึ่งจุดกลับไปที่การสนทนาของ AI การพูดคุยกับวิศวกรสองสามคนของเราเมื่อสัปดาห์ที่แล้วมีเหตุการณ์เกิดขึ้นจริง นั่นคือสิ่งที่เรากำลังใช้ Chat GPT สำหรับการทดสอบหน่วย การใช้ฟังก์ชันและสำรวจมันด้วยวิธีที่น่าสนใจ คุณจะใช้ประโยชน์จากบางอย่างเช่น Chat GPT เพื่อเขียนการทดสอบหน่วยโดยที่คุณไม่ได้เป็นนักเขียนที่ดีที่สุดของการทดสอบหน่วยนั้นได้อย่างไร ในประเด็นของ Tim นั่นคือจุดที่ฉันคิดว่าเราสามารถใช้ประโยชน์จาก AI ได้มากขึ้นในทางป้องกัน

ลอว์เรนซ์ เอดมันสัน: ใช่ สิ่งที่เรากำลังทำอยู่ ฉันคิดว่ารายการตรวจสอบและการมี playbook เป็นสิ่งที่ดี เรากำลังใช้เครื่องมืออัตโนมัติ เช่น SonarQube และมี linting จริง ๆ และอะไรทำนองนั้น เพียงเพื่อเพิ่มคุณภาพของโค้ดด้วย linting แต่ยังใช้ SonarQube เพื่อให้แน่ใจว่าโค้ดมีความปลอดภัยมากขึ้น ซึ่งเรากำลังค้นหาอยู่ สำหรับช่องโหว่และอะไรทำนองนั้น ฉันคิดว่าบางภาษาหาช่องโหว่ได้ง่ายกว่าภาษาอื่นๆ ดังที่ฉันได้กล่าวไว้ก่อนหน้านี้ เพียงเพราะธรรมชาติของภาษา และยังมีเพียงบางเฟรมเวิร์คที่คุณภาพของโค้ดเดอร์ที่สนับสนุนโค้ดเบสนั้น โดยทั่วไปแล้วเราจะเห็นสิ่งนี้ในโอเพ่นซอร์สซึ่งมันก็เหมือนกัน มีการคัดลอกและวาง Stack Overflow จำนวนมากเมื่อเทียบกับคนที่ได้ศึกษาจริงๆ CS และรู้จริง ๆ ว่ากำลังทำอะไรอยู่ นั่นเป็นเพียงสิ่งเดียวที่ฉันได้เห็น

ทิม แนช: ฉันรู้สึกว่าเราควรชี้ให้เห็น สำหรับตัวฉันเอง ฉันใช้ Stack OverFlow แทบทุกวัน และเราทุกคนมีความผิดในเรื่องนี้ เป็นเรื่องดีที่จะตำหนิ แต่ฉันไม่คิดว่า – ฉันหมายถึง ฉันจำได้ว่าเมื่อฉันเริ่มเขียนโค้ดครั้งแรก ฉันได้รับนิตยสารและกำลังพิมพ์รหัสจากนิตยสารและกด Enter ฉันนึกภาพไม่ออกว่าเว็บจะใช้งานได้จริงๆ ในทุกวันนี้ หากเรายังทำแบบนั้นอยู่เรื่อยๆ และไม่มี Stack Overflow หรือสิ่งที่คล้ายกัน

Sergi: ไม่ มันคือตัวเร่งความเร็ว และหวังว่า AI จะเป็นก้าวต่อไปของสิ่งนั้น แต่ใช่มันเป็นมส์ที่สนุก

ผู้ดำเนินรายการ: ขอบคุณ เลยเลื่อนไปหน่อย มีโมเมนตัมมากมายที่เกิดขึ้นในอุตสาหกรรมเกี่ยวกับการนำ Headless และ Headless ไปใช้ และเรายังเห็นในช่องอื่นๆ ของเราในวันนี้หรือช่วงอื่นๆ ที่พูดถึงเรื่อง Headless ดังนั้น เมื่อเราเริ่มทำงานกับ Atlas ที่ WP Engine เราได้พบกับนักพัฒนามากมาย และการรักษาความปลอดภัยก็เป็นแรงกระตุ้นที่สำคัญเสมอ แล้วคุณมองเรื่องความปลอดภัยด้วย Headless อย่างไร? และฉันรู้ จิมมี่ นี่เป็นพื้นที่ที่คุณได้ทำโครงการบางอย่างรอบๆ เรายินดีรับฟังความคิดเห็นของคุณ

JIMMY SQUIRES: ใช่ เราทำงานกันมากมายใน Headless ฉันคิดว่าโครงการเกือบทั้งหมดของเรา ณ จุดนี้อาจใช้แนวทางสถาปัตยกรรมแบบไร้หัว ฉันคิดว่ามีประเด็นสองสามข้อที่ฉันต้องการจะทำ เนื่องจากเกี่ยวข้องกับความปลอดภัย ดังนั้น ฉันคิดว่าอย่างแรกคือเมื่อคุณเลือกสถาปัตยกรรมแบบไร้ศีรษะ โดยทั่วไปแล้วคุณจะอยู่ในค่ายโอเพ่นซอร์สมากกว่าในตอนแรก และแน่นอนว่ามีการถกเถียงกันมากมายว่าอะไรปลอดภัยกว่ากัน โอเพ่นซอร์สหรือโอเพ่นซอร์ส ฉันมักจะตกอยู่ในค่ายของโครงการ OSS มีความปลอดภัยมากขึ้นโดยธรรมชาติ ดังนั้นคุณจึงเลือกเฟรมเวิร์กเช่น Next, WordPress ซึ่งคุณมีชุมชนขนาดใหญ่ และนั่นมีแนวโน้มที่จะให้ความปลอดภัยมากขึ้นผ่านการเปิดเผย

ดังนั้นฉันคิดว่านั่นคือหนึ่ง ฉันคิดว่าอย่างที่สองคือบางอย่างเช่น Static Generation ดังนั้น เว็บไซต์และผลิตภัณฑ์จำนวนมากที่สร้างขึ้น คุณไม่จำเป็นต้องมีลักษณะไดนามิกของการจัดการเนื้อหาขนาดใหญ่ ระบบเสาหินในความหมายดั้งเดิม คุณสามารถใช้ประโยชน์จากบางอย่างเช่น Cloudflare และสร้างส่วนใหญ่ของแอปพลิเคชันนั้นแบบคงที่ ซึ่งจะช่วยลดรอยเท้าของคุณสำหรับเวกเตอร์และการเปิดรับแสง ดังนั้นเราจึงเป็นแฟนตัวยงของสิ่งนั้น และแน่นอนว่าคุณจะได้รับประโยชน์ด้านประสิทธิภาพทั้งหมดด้วยเช่นกัน นี่เป็นเพียงสองสามจุดที่ฉันต้องการสร้างบนสถาปัตยกรรมแบบไร้หัว แต่อีกหลายเหตุผลจากจุดยืนด้านความปลอดภัยที่เราชอบนั้น แต่ฉันคิดว่านี่น่าจะเป็นพื้นที่ที่โดดเด่นที่สุดสองแห่ง

ทิม แนช: ผมอยากจะย้อนรอยกลับไปและเตือนผู้คนว่ายังมีระบบจัดการเนื้อหาอยู่ด้านหลัง และบ่อยครั้งที่ฉันได้ยินว่า Headless ปลอดภัยโดยสิ้นเชิง มันเหมือนกับใช่ แต่ตัวอย่าง WordPress ที่เปิดเผยนั้นยังคงอยู่ที่นั่นเพียงเพราะคุณไม่ได้เรียกมันโดยตรงจากเว็บไซต์ ใช่มันยังคงอยู่ที่ admin.yoursite.com และคุณไม่— มีความเชื่อบางอย่างที่ว่า ใช่แล้ว ตอนนี้เราปลอดภัยแล้ว ดังนั้นเราไม่จำเป็นต้องกังวลเกี่ยวกับการอัปเดตให้ทันสมัยอยู่เสมอ เพราะไม่ใช่เว็บไซต์ มันเหมือนกับว่า ไม่ ไม่ คุณยังต้องการทุกสิ่งที่คุณเคยทำมาก่อน และตอนนี้เราก็มีอีกด้านหนึ่งเช่นกัน

และฉันหมายความว่า Headless เป็นคำที่ยอดเยี่ยมสำหรับบางสิ่งที่มีมาช้านานและได้รับแรงผลักดันอย่างมาก แต่เราทำสิ่งนี้ตั้งแต่ก่อนที่ WordPress จะมี REST API เรากำลังผลักดันเนื้อหาจาก WordPress ไปยังสิ่งต่าง ๆ เช่น Jekyll เพื่อให้ได้ไซต์คงที่เป็นอย่างน้อย และเหตุผลดั้งเดิมในการทำเช่นนั้นคือทำให้ระบบ WordPress หรือระบบจัดการเนื้อหาของคุณเปลี่ยนแปลงภายในเครือข่ายของคุณ ดังนั้นคุณจึงสามารถล็อคมันไว้และป้องกันไม่ให้เว็บใหญ่น่ากลัว

ตอนนี้เรามีบริษัทโฮสติ้งมากมายที่ให้บริการโซลูชั่นแบบไร้หัว และตอนนี้โครงสร้างพื้นฐานนั้นกลับมาอยู่ในคลาวด์อีกครั้ง So we've sort of moved the big benefit for Headless. And we're slowly shifting it back into the public domain again, which seems like a very almost backwards move, but it's the only move for widespread adoption. So there's a balancing act we have there. But yeah, just a small little warning into the big space of keep the backend secure still. You can't just rely on it being–

TIM NASH: Just because something's got some HTML files at the front, the back end still needs to stay just as secure as before.

MODERATOR: Yeah, absolutely. I mean, Headless, by default, doesn't mean that everything is secure. It means that you have a different paradigm. And that's what I think I was interested in, looking at what practices that you bring in as you look at Headless infringers. So yeah, I think that's you're very apt in stating that you still have to secure both the CMS part, as well as the web part of it. So as we are wrapping up, what I would love to do is we have had a lot of good topics to talk about in here, but I would love to take like 10 seconds from each one of you to say that if there is one thing that our audience could do in these next two months after the end of the session, what would that be? What's your recommendation?

LAWRENCE EDMONDSON: I guess I'll start off. My recommendation would be very simple. Security should be everyone's business. I think a lot of times, security doesn't become a topic or consideration until there's a problem. If I were a developer, I would make sure that I am being very proactive in terms of taking the necessary steps. It's 2023, we shouldn't be storing anything in clear text.

Everything should be encrypted as much as you can. Use Hashicorp, encrypt your database and make sure that your keys are stored securely, or it's something that's not easily compromised. But that's what I would encourage folks to make sure that security is top of mind all the way throughout.

MODERATOR: Thank you, Lawrence. Sergi, what about you?

SERGIS ISASI: I would say get an inventory of what's exposed. Know what's on the internet and make sure that the proper– at least aware of what's there, if not fully protecting it.

MODERATOR: Thank you. And Jimmy?

JIMMY: Scenario planning. Take the time in your project to do the scenario planning and create those playbooks, both preventative and then reactive once something does happen, to Sergi's point earlier. What are your action steps for that? Take that time and the project will pay off dividends later.

MODERATOR: Wonderful. ขอบคุณ And Tim, bring us home.

TIM NASH: Oh, I want to reinforce what Lawrence said. Security is everybody's responsibility. Give people the time and space to actually do their jobs properly and you'll find that you will come out with a much more secure project.

MODERATOR: Thank you. Security is indeed everyone's responsibility. So thank you to our amazing panelists for taking the time today and also to everybody in the audience. Hope you enjoyed this session. Thank you and bye.