iT邦幫忙

2025 iThome 鐵人賽

DAY 1
0
DevOps

60天從零開始學DevSecOps系列 第 1

Day 1 – 前言:幹嘛花 30 天來學這鬼 DevSecOps?

  • 分享至 

  • xImage
  •  

Day 1 – 前言:幹嘛花 30 天來學這鬼 DevSecOps?

第一次參加 鐵人賽 對我來說緊張又刺激?
本來以為自己應該選個純資安題目弱點掃描之每天修補計劃,但誰會想要看修補三十天...
結果硬是挑了 DevSecOps,感覺在打魔王關(而且還沒存檔那種)。不過剛好我也想補這塊,就邊學邊寫吧,逼自己每天動起來,講錯的東西希望各位大大在留言區更正我。

不過又怕像之前寫CEH上課筆記一樣,寫一半:D


什麼是 DevSecOps 啊?

https://ithelp.ithome.com.tw/upload/images/20250814/20171891RTcTUkcqQW.png

白話一點:DevSecOps = Development(開發) + Security(安全) + Operations(運維)
它其實是從 DevOps 演變來的;後來大家發現「只快不安全」會付出更大代價,所以把 Security 直接塞進流程中間,變成每天都要經過的一關。

前顯易懂的小故事?:本來 Dev 跟 Ops 兩兄弟在蓋房子,現在多了一位安全顧問坐在餐桌中間,一邊看藍圖一邊說:「這裡記得加門鎖」「窗戶要防盜」「電線別外露」。不是驗屋那天才來唸,而是從畫圖紙就開始講

延伸閱讀(參考文獻)


DevSecOps 的核心?(奇怪翻譯版)

  • 安全左移(Shift-Left Security):別等房子蓋好才找漏水;從設計圖開始就把安全畫進去。
  • 全員參與:開發、資安、運維不要各幹各的;出事不再丟鍋,站同一邊。
  • 自動化:能自動就自動(SAST/DAST、依賴檢查、CI/CD 內的安全閘),省時也比較不會漏。
  • 持續監控:上線不是句點;監控、告警、回溯與修補才是日常。

為什麼叫 DevSecOps 而不是 Security DevOps?因為 Security 不是外掛,它應該像三明治的中間餡,每一口都吃得到。

打到這段時快中午了,肚子在叫,突然很想吃大麥克…不要問為啥不是三明治


台灣 DevSecOps 薪資概況(GPT 5幫忙整理)

這是我這幾天在 104 / LinkedIn 翻職缺時做的區間筆記(只當參考,會因公司/年資差很多)。

職級 月薪(TWD) 常見要求/關鍵字
新手/助理(0–3 年) 40K–70K Git Flow、Bash/Python、小型 CI/CD、基本漏洞掃描
中階(3–7 年) 60K–150K(常見中位約 90K–110K) 串 SAST/DAST(例如 SonarQube、ZAP)、雲端權限(IAM/RBAC)、容器化(Docker/K8s)
金融/外商高階(7+ 年) 100K–250K 合規(ISO 27001/SOC2)、威脅建模、觀測性(Prometheus/Grafana)、治理與落地能力
顧問/架構師 120K–300K 工具鏈整合(Jenkins/Trivy…)、安全架構設計、Zero Trust/NIST、跨部門協作經驗

一句話:會 DevOps 又懂安全 的,在台灣市場真的吃香,比只做資安或只做開發普遍更有優勢。(我自己也想學完去面試幾家看看,先把話放這裡 XD)


學這玩意需要啥技能?

  • 基礎自動化:Git / GitHub、Shell Script、Python
  • CI/CD:GitHub Actions 或 Jenkins
  • 安全掃描:SAST、DAST、SBOM

    講到這個掃描真的不是難事,最難的是修補啊~
    我在中小公司用 Nessus Pro,掃出來一堆「長青系統」;有些已停更、補丁也沒了,都要想很多配套措施...

  • 容器與雲端:Docker、Kubernetes、雲端最低權限(IAM / RBAC)
  • 基礎設施即程式碼IaC:Terraform / Ansible > 這三十天比較擔心這塊啊Terraform之前沒碰過
  • 資安基礎:OWASP Top 10、威脅模型、零信任 > 學會用「影響/可能性/緩解方式」分析風險? 例如修補計劃

我的 30 天作戰計劃

先註明以下是請gpt幫我產生的讀書計畫。
希望可以按照這個計劃~~

主題 目標(可驗收)
第一週 DevSecOps 基礎 + Git / CI/CD 入門 了解 DevSecOps 流程與安全檢查類型(SAST / SCA / DAST / IaC / Container / Secret);用 GitHub Actions 搭出最小可用 Pipeline:push → 測試 → build →(可選)deploy。
第二週 加入安全掃描 接入 Snyk(SCA)、Semgrep(SAST)、Gitleaks(Secret Scan);在 PR 自動回報高風險依賴與可疑程式碼,至少關掉 1 個真實問題,並生成 HTML / SARIF 報告。
第三週 容器安全 用 Docker 打包 app,接 Trivy 掃映像檔與基底系統漏洞;修掉至少 1 個基礎漏洞(如套件版本或多餘開放 Port),並在 CI/CD 加入自動掃描步驟。
第四週 雲端部署 + DAST 部署到 AWS / Azure / GCP(或 Netlify / Vercel 當免費方案);跑一次 OWASP ZAP Baseline 掃描,產出報告+修正紀錄,做出可公開 Demo,並在 README/報告中展示整個流程圖。

希望過程都能記錄下來啦,但我真的蠻懶的


Day 1 先到這,期待剛開賽還鬥志滿滿的自己:D。


下一篇
Day 2 -Git是超級英雄?
系列文
60天從零開始學DevSecOps8
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言