Tôi vừa gặp một anh quản lý dự án tuần trước. Anh ấy nói: "Chúng tôi có pipeline CI/CD rất nhanh, release mỗi ngày, mọi thứ tự động hóa hoàn hảo". Tôi hỏi: "Còn bảo mật?". Anh im lặng, rồi cười gượng: "Chúng tôi kiểm tra bảo mật... sau khi deploy".
Đó là lý do DevSecOps tồn tại.
Tại sao DevSecOps không chỉ là thêm một chữ "Sec"?
DevOps thay đổi cách chúng ta phát triển software. Thay vì chờ team security audit 3 tháng sau khi code merge, chúng ta tự động hóa việc kiểm tra. Nhưng nếu bạn tự động hóa mà không tính đến bảo mật từ đầu, bạn chỉ là đang tự động hóa lỗi.
Con số nói lên điều này: theo báo cáo Verizon năm 2024, 60% các vi phạm dữ liệu liên quan đến yếu tố con người hoặc process. Những hộp thoại SSH key nằm lộng lẫy trong repo Git, credentials hardcoded trong Docker image, hay permissions quá rộng trong Kubernetes - đó là những thứ DevSecOps phải xử lý.
Vấn đề không phải là security team ngu ngốc. Họ thường là những người khá thông minh. Vấn đề là khi bạn có 500 microservices, 50 API endpoints, và mỗi development team tự quản lý infrastructure của họ, thì việc manual review đơn giản là impossible.
Infrastructure as Code là bước đầu tiên, nhưng không phải tất cả
Hầu hết các công ty mình tư vấn bắt đầu DevSecOps bằng cách chạy một tools scan như Snyk hoặc Trivy. "Nhìn kìa, chúng tôi detect được 500 vulnerabilities!". Rồi họ nhận ra 499 trong số đó là false positive hoặc third-party dependency mà không thể patch nhanh.
Đây là insight thực tế: DevSecOps không phải về việc scan nhiều nhất hay report đầu đủ nhất. Nó là về việc bỏ qua bảo mật từ bước đầu.
Cách tiếp cận đúng thường như thế này:
1Secrets management từ ngày đầu - Dùng HashiCorp Vault, AWS Secrets Manager, hoặc thậm chí Git-ops tools như Sealed Secrets. Không bao giờ, KHÔNG BAO GIỜ hardcode API keys. Tôi đã thấy một startup Việt bị dump 50 triệu điểm tích khách hàng vì một GitHub token để công khai trong repo.
Chia sẻ bài viết
Bài viết liên quan
Bạn cần tư vấn về công nghệ?
Đội ngũ Idflow luôn sẵn sàng hỗ trợ bạn trong hành trình chuyển đổi số.
1Container scanning trong build pipeline - Quét Docker image tại thời điểm build, không phải sau khi push. Tools như Trivy hay Grype có thể tích hợp vào GitLab CI hoặc GitHub Actions chỉ trong 5 dòng YAML.
1SBOM (Software Bill of Materials) - Biết chính xác những dependencies nào có trong ứng dụng của bạn. Khi vulnerability được công bố (như log4shell), bạn biết ngay có bị ảnh hưởng hay không. Công cụ như Syft có thể generate SBOM tự động.
1Runtime security - Scan khi app chạy, không chỉ khi deploy. Falco hoặc OpenObserve có thể phát hiện suspicious activity, unauthorized access pattern.
Con đường thực tế của DevSecOps
Nếu bạn đang làm việc tại một công ty Việt Nam với 20-100 engineers, bạn không cần Prisma Cloud hay Lacework ngay lập tức (những tools đó đắt tiền chết). Hãy bắt đầu từ những thứ miễn phí hoặc rẻ:
GitLab Ultimate Security nếu dùng GitLab: container scanning, SAST, DAST tích hợp
Open source tools: Snyk Open Source (free tier), TruffleHog cho secrets, Semgrep cho code analysis
Mình tư vấn cho một fintech Việt Nam. Họ có 40 engineers, 15 services. Trước đó, security review là: "hmmm, code nhìn có vẻ ổn". Bây giờ, họ có:
Automated secrets scan trong mỗi PR (30 phút setup)
Dependency update tự động thông qua Dependabot (free với GitHub)
Runtime monitoring trên Kubernetes dùng Falco (miễn phí)
Kết quả: từ 2-3 tháng detect vulnerability, xuống còn 2-3 ngày. Chi phí? Gần như không có. Thời gian dev waste? Tăng nhưng không đáng kể - chỉ 5-10% PR bị reject vì security.
Khoảng cách giữa "DevSecOps" marketing vs thực tế
Nhiều vendor nói "chúng tôi làm DevSecOps". Nhưng khi bạn hỏi "nó tích hợp vào pipeline của chúng tôi như thế nào?", họ thường đưa ra một dashboard đẹp mà dev team sẽ không bao giờ nhìn.
DevSecOps thực sự là khi security check xảy ra TRƯỚC khi deploy, không TRONG hoặc SAU. Khi một developer nhấn "merge", họ biết code đã qua:
Dependency vulnerability scan
Secret detection
Static analysis
Container scanning
Infrastructure misconfiguration check
Tất cả trong vòng 5 phút, không phải 5 ngày.
Một câu chuyện từ thị trường Việt Nam
Công ty logistics Việt (mình không thể nói tên) bị ransomware năm ngoái. Chúng tôi audit sau đó, phát hiện: attacker vào qua một internal tool mà team DevOps deploy mà không update dependencies 8 tháng. Nếu họ có automated dependency scanning, vulnerability sẽ được alert sau vài giờ.
Mất mát? ~$2 triệu. Thời gian set up DevSecOps? 2 tuần.
Tổng kết
DevSecOps không phải về tools hay compliance checklist. Nó là về mindset: bảo mật là responsibility của mọi người (developers, ops, architects), không chỉ security team. Nó xảy ra sớm, không phải muộn. Và nó tự động, vì con người thì quên hoặc chán.
Bắt đầu nhỏ. Bắt đầu với secrets scanning. Rồi dependencies. Rồi container images. Rồi infrastructure config. Thêm dần, tune dần, improve dần.
Idflow Technology có thể giúp bạn xây dựng pipeline này một cách chắc chắn.
