今年 9/11 ~ 9/13 參加由 iThome 主辦的 Hello World Dev Conference，接觸到很多新領域、新關鍵字以及新嘗試，包含：參加工作坊以及會後和講者的面對面討論。為了讓這些難得的體驗留存久一點，想藉由鐵人賽記錄下來

前言

這場研討會有一類主題是 DevSec，參考議程官網的介紹：

DevSec 指的是，在需求收集、設計、開發、測試、部署和維護等過程中，融入有效的資安措施，從根本上提升軟體和服務的安全性。

主題會聚焦在制定安全需求和設計、採用安全編碼標準和程式審查、實施自動化安全測試、管理風險和遵循合規性、擴展資安至上游流程,以及強化軟體供應鏈和產品安全...等

『 恩，關鍵字 安全、安全、安全 』

DevSecOps

DevSecOps 指的是 Develop + Security + Operation，是 DevOps 延伸的進化版，把 Security 納入進來。

參考 DevSecOps是什麼？如何做到讓軟體開發更快、更安全？ 中的解釋：

• DevSecOps的核心理念是，安全應該成為整個軟體開發生命週期的一部分，而不是只是開發完成後再去考慮。
• 傳統的開發模式通常是開發完成後再將安全考慮進去，這往往會造成許多問題和風險。例如，開發人員可能會忽略一些安全問題，因為他們不了解這些問題的重要性，或者他們將這些問題留給安全團隊去處理。

可以怎麼做

1. 安全性左移 (安全測試或是檢驗移至開發初期，及早發現問題、預防漏洞)
2. 盡量自動化 (手動易出錯)
3. 安全性的工具整合至自動化 CI/CD 中
4. 開發、安全、營運團隊的互相協作

補充

盡可能所有階段都考量到 安全性，避免之後花更多時間處理漏洞或威脅

圖取自 What is Shift left security? Why it is critical for organizations in 2024?

參考資源

DevSecOps是什麼？如何做到讓軟體開發更快、更安全？
DevSecOps 方法的重要性