看時光飛逝，我祈禱明天，每個小小的夢想能夠慢慢的實現 !
我是如此平凡，卻又如此幸運，我要說聲謝謝你，在我生命中的每一天 !
(這是一首歌 - 在我生命中的每一天)
感謝許多夥伴在每個專案中給予我支持，在產品介紹、在需求訪談、在功能測試、在報告撰寫，在技術支援.... ; 我所有的經歷都因他們而得以前進、共成就、共喜樂、共承受失敗 ; 因而我得以在這過程中豐富自己，裝扮自己。
因為這次參賽，整理了這幾年的銷售經驗，因為要訴諸文字，我在網路上爬呀爬，也因為這樣温故而知新。但確實有一塊領域是我較少接觸-DevSecOps，因為對軟體開發及維運較没有接觸，講不出生動的故事情節及大道理，但對於應用軟體的安全檢測工具，我們MSSP資訊安全服務商倒是自已用的多。

一、DevOps與DevSecOps

• DevOps：開發（Development）+ 維運（Operations），開發與營運團隊加強溝通合作，讓流程更敏捷和自動化。
• DevSecOps：開發（Development）+ 資安（Security）+ 維運（Operations），加入資訊安全成為整個團隊的責任，貫穿軟體開發的每一個環節。

二、DevSecOps的實施

1. 評估和計劃：
   確定應用程式的安全性和合規性要求，評估現有的安全性做法和工具，制定計劃以實現DevSecOps目標。
2. 左移安全性：
   將安全性左移到軟體開發生命週期（SDLC）的早期階段，這意味著在編寫程式碼時就考慮安全性，並使用靜態應用程式安全測試（SAST）、動態應用程式安全測試（DAST）等工具進行檢查。
3. 自動化：
   自動化安全檢查和測試流程，以減少手動錯誤並提高效率。這包括自動化的漏洞掃描、配置檢查和日誌監控。
4. 整合工具：
   使用適當的工具來支持DevSecOps，例如SAST、DAST、互動式應用程式安全測試（IAST）和來源組合分析（SCA）等。
5. 持續學習與改進：
   持續進行安全性風險評估，並根據最新的威脅情報和攻擊技術調整安全策略和控制措施。

三、SAST，DAST，IAST、SCA
AST（Application Security Test，應用安全測試）工具是應用程式軟體安全實踐的支柱之一。隨著近年來安全越來越得到重視，AST們也發生著快速的疊代和變化，成為信息安全領域的當紅炸子雞。

1. SAST
   SAST（Static Application Security Testing，靜態應用程式安全測試）對應用程式原始碼執行直接的白箱分析。分析是在代碼的靜態視圖上運行的，這意味著代碼在審查時沒有運行。如今，SAST已經完全成為主流，並且在整個軟體行業中被廣泛採用。
2. DAST
   與SAST相反，DAST（Dynamic Application Security Testing，動態應用程式安全測試）對應用程式進行黑箱分析，這意味著它們不能訪問代碼或實現細節。DAST只檢查系統對潛在漏洞測試的請求和響應。換言之，DAST是外部的漏洞掃描程序。
3. IAST
   IAST（Interactive Application Security Testing，交互式應用程式安全測試）結合了SAST和DAST的優點。IAST可以像SAST一樣看到原始碼，也可以像DAST一樣看到應用程式運行時的執行流。
4. SCM
   SCM（Software composition analysis，軟件組成分析）是針對軟件的分析，偵測是否有使用開放原始碼（open source）元件，軟體元件是否為最新版本，是否有會影響安全的漏洞，或是其中有需要授權（licensing）才能合法使用的組件。

讓我將生命中最閃亮的那一段與您分享，讓我用每一天的用心來表達對您的真心真意!
這是使用微軟AI-Copilot繪出。昨天早上禱告時看到自己在天空中飛翔往下俯瞰，其實我不止一次看到這景況 ; 這讓我覺得是天父在告訴我 : 由上往下看，可以有很大的天空，應該開創屬天來的職責，不應在世間鎖碎之間來回。