🔒 DevSecOps
🔥 Vibe Coding Prompt
"Integrate security scanning into GitHub Actions: SonarQube (SAST), ZAP (DAST), Snyk (SCA), Trivy (Container)."
📋 Course Outline
- SAST with SonarQube
- DAST with OWASP ZAP
- SCA with Snyk
- Security Pipeline
- Full Secure CI/CD
Key Points
- Understand the core concepts thoroughly
- Practice with hands-on code examples
- Apply knowledge to real-world problems
- Review and reinforce through exercises
Further Learning
- Official documentation
- Open source projects on GitHub
- Community forums and discussions
- Related courses and tutorials
課程導覽:這堂課你會學到什麼?
DevSecOps 是將安全整合到 DevOps 流程中的實踐。不是「先開發、再安全」,而是安全內建在每個階段。
第一章:CI/CD 安全防護
CI/CD 管線本身也是攻擊面。學會保護你的 Pipeline——OIDC 認證、第三方 Action 風險、Secret 保護。
第二章:SAST 靜態分析(SonarQube)
在不執行程式碼的情況下分析原始碼。SQL Injection、XSS、硬編碼密碼——SAST 可以在 commit 階段就找到它們。
第三章:SCA 軟體組成分析(Snyk)
你的 dependencies 安全嗎?SCA 掃描第三方套件的已知漏洞和授權問題。
第四章:DAST 動態分析(OWASP ZAP)
在執行中的應用程式上掃描漏洞。SAST 找不到的執行時期漏洞,DAST 來補。
第五章:完整 DevSecOps Pipeline
將 SAST、SCA、DAST、Container Scan 全部整合到 GitHub Actions 中,建立從 Commit 到 Deploy 的安全流水線。