Hiểu được tầm quan trọng của việc quản lý lỗ hổng bảo mật, đầu tháng 7/2021, Amintek đã hoàn thiện và ra mắt CWMicroScan – công cụ nội bộ với chức năng dò quét, phân tích bảo mật và nâng cao chất lượng source code cũng như sản phẩm. Công cụ này nhanh chóng được đưa vào sử dụng thử nghiệm ở một số dự án và thu về những kết quả vô cùng khả quan. Với nỗ lực tìm tòi và học hỏi không ngừng để nâng cao chất lượng sản phẩm, Amintek tin tưởng rằng đây là giải pháp tối ưu để gây dựng lòng tin từ khách hàng, giữ vững vị thế một trong những doanh nghiệp cung cấp dịch vụ IT hàng đầu.

1. Về CWMicroScan

Khi tìm hiểu và chuẩn hóa CI/CD, TeamCI của Amintek nhận thấy có một số công cụ để quét bảo mật source code và hệ thống có thể áp dụng vào các dự án của công ty, tuy nhiên việc sử dụng trực tiếp những công cụ đó khá phức tạp. Vì vậy cần có giải pháp để ai cũng có thể sử dụng một cách dễ dàng, và từ đó ý tưởng về CWMicroScan đã ra đời.

CWMicroScan là công cụ nhỏ được triển khai theo mô hình Microservice cung cấp giao diện trực quan, thực hiện quét bảo mật source code, quét bảo mật cho Website và quét cho API. Các scan task được khởi tạo, cập nhập trạng thái bởi AWS Lambda và chạy trên AWS Fargate, tất cả dữ liệu được lưu trữ trên Amazon Aurora Serverless. Lý do xây dựng theo mô hình này là để tăng khả năng linh hoạt và tiết kiệm chi phí. Mô hình không sử dụng một server cố định mà sử dụng container, khi nào có job cần chạy thì container sẽ được khởi tạo lên, chạy xong thì sẽ tự dừng lại, job nặng thì chạy cấu hình cao, job nhẹ thì chạy cấu hình thấp. Và trong 4 tháng xây dựng và thử nghiệm, chi phí vận hành cho phần quét bảo mật chỉ hết khoảng $5, trong khi nếu sử dụng một server (có RAM và CPU cố định trên AWS) có cấu hình tương đối thì sẽ hết khoảng $20~$30/tháng. Như vậy, chi phí tiết kiệm được khi sử dụng công cụ này là không hề nhỏ.

Hình mô tả kiến trúc hệ thống cw-microscan

2. Kiến trúc hệ thống và tính năng

CWMicroScan sử dụng kiến trúc Amazon Elastic File System (EFS), AWS Fargate. Ưu điểm của kiến trúc này là tối ưu hóa chi phí, thay vì luôn phải cung cấp một resource nhất định đủ lớn để có thể chạy các jobs bất cứ lúc nào thì sử dụng container với cấu hình thích hợp để thực hiện các jobs tương ứng.

Những tính năng chính của CWMicroScan có thể kể đến như sau:

• SAST Scan (clone source code về từ github, gitlab… để quét dựa theo các ngôn ngữ khác nhau)
• DAST Scan (cho phép Quick Scan và Full Scan)
• LOC Count (clone source code về từ github, gitlab… để đếm số dòng code)

Giao diện kết quả Scan của CWMicroScan

3. Về tương lai

CWMicroScan dự kiến trong thời gian tới sẽ áp dụng, triển khai trong toàn công ty. Ngoài ra, công cụ sẽ được tối ưu hóa xử lý backend, bổ sung thêm các tính năng mới ví dụ như Stress test, Load test,… và chỉnh sửa theo feedback của các dự án.

Với CWMicroScan, các lập trình viên Amintek như được trang bị thêm “vũ khí” để chủ động hơn trong việc xử lý an toàn bảo mật, khắc phục nhanh chóng hơn, đảm bảo chất lượng sản phẩm dự án để khách hàng có thể hoàn toàn tin tưởng và an tâm sử dụng dịch vụ của công ty.