前言

終於來到 Day.30。
回想起第一天開始動筆時，我只是單純想把 DevSecOps 的概念釐清，結果一寫就變成了一場 30 天的副本挑戰。

每天早上打開it邦發鐵人賽文章，就像登入遊戲簽到......

• 前幾天是新手村，練習 CI 的基本功。
• 中期開始挑戰 Secrets、容器掃描，難度逐漸拉高。
• 後期更是直接進團本：自動部署、Caddy、藍綠部署、金絲雀上線、監控告警…。

今天，副本打完了。
但比起「通關」，我更想聊的是：這 30 天的戰場，教會了我什麼。

回顧旅程：從新手村到團隊副本

如果把這 30 天拆成劇情章節，大概是這樣：

• Day 1-10：新手村練功
  Lint、測試、PR Flow。就像新手劍士刷史萊姆，確保裝備不會一下就壞。

• Day 11-20：中期副本
  開始學會 Secrets 管理、Trivy 掃描容器漏洞，體驗到「原來裝備不只要閃亮，還要沒有暗藏炸彈」。

• Day 21-25：大型團戰
  自動部署到 EC2、Caddy 上場幫忙守門，藍綠部署與金絲雀像是團隊戰術。這時候的心情，已經不像新手了，而是「我們真的能打王了」。

• Day 26-29：觀測與保命技能
  Prometheus、Grafana、Alertmanager，血條、藍條、冷卻都能被監控，甚至能自動丟補品。這是從「能打」進化到「能穩定打」。

到了今天，已經可以把這條pipeline，稱作一套完整的副本攻略了吧。

我學到的：DevSecOps 的三把鑰匙

這一路下來，我慢慢體會到 DevSecOps 的核心不是工具，而是 三種思維：

1. 速度不是目的，安全才是底線
   在好幾天的文章都有提到這點，CI/CD 不是比誰部署更快，而是怎麼把安全和速度綁在一起」。

2. 失敗不是恥辱，不能回頭才是
   有健康檢查、有回滾機制，代表你能放心嘗試新版本。沒有退路的自動化，才是真的危險。

3. 工具會過時，思維能延續
   今天用 GitHub Actions，明天可能換 GitLab；今天在 EC2，明天可能是 Kubernetes。
   想擔任這行「活到老學到老」不再是什麼勵志名言，而是最低的標準。
   工具各式各樣，但「左移、最小權限、可觀測性」這些觀念，在哪裡都適用。

展望未來：還有更高難度的副本

這 30 天只是開始，還有更多 boss 在等：

• Kubernetes：把多個服務拉上來協作，挑戰 40 人副本。
• Service Mesh：流量治理、零信任，像是王城防禦戰。
• 供應鏈安全（SBOM、Sigstore）：每件裝備都有身分證，防止黑市裝備混進來。

如果這 30 天是新手副本，未來才是真正的跨服大戰。

結論

回頭看這系列，我覺得最想留給讀者的一句話是：

DevOps 是把程式碼送上戰場，DevSecOps 則是確保它帶著護甲、補師，還有退路。

自動化不是「快點衝」，而是「快，但不送頭」。

而這 30 天的鐵人挑戰，讓我更確信──
速度可以買到，但安全感，要靠自己練出來。