🔒 DevSecOps

🔥 Vibe Coding Prompt

"Integrate security scanning into GitHub Actions: SonarQube (SAST), ZAP (DAST), Snyk (SCA), Trivy (Container)."

📋 Course Outline

  1. SAST with SonarQube
  2. DAST with OWASP ZAP
  3. SCA with Snyk
  4. Security Pipeline
  5. Full Secure CI/CD

Key Points

  • Understand the core concepts thoroughly
  • Practice with hands-on code examples
  • Apply knowledge to real-world problems
  • Review and reinforce through exercises

Further Learning

  • Official documentation
  • Open source projects on GitHub
  • Community forums and discussions
  • Related courses and tutorials


課程導覽:這堂課你會學到什麼?

DevSecOps 是將安全整合到 DevOps 流程中的實踐。不是「先開發、再安全」,而是安全內建在每個階段。

第一章:CI/CD 安全防護

CI/CD 管線本身也是攻擊面。學會保護你的 Pipeline——OIDC 認證、第三方 Action 風險、Secret 保護。

第二章:SAST 靜態分析(SonarQube)

在不執行程式碼的情況下分析原始碼。SQL Injection、XSS、硬編碼密碼——SAST 可以在 commit 階段就找到它們。

第三章:SCA 軟體組成分析(Snyk)

你的 dependencies 安全嗎?SCA 掃描第三方套件的已知漏洞和授權問題。

第四章:DAST 動態分析(OWASP ZAP)

在執行中的應用程式上掃描漏洞。SAST 找不到的執行時期漏洞,DAST 來補。

第五章:完整 DevSecOps Pipeline

將 SAST、SCA、DAST、Container Scan 全部整合到 GitHub Actions 中,建立從 Commit 到 Deploy 的安全流水線。