技術 Day 30｜最終回顧 × DevSecOps 展望

● 前言 回顧這 30 天的旅程，從基礎的 DevOps 概念，到 CI/CD、容器化、Kubernetes，再到安全檢測與 DevSecOps 整合，每一天都...

技術 Day 29｜DevSecOps 全貌：把安全融入 CI/CD 的完整流程

● 前言 從 Day 24 到 Day 28，我們陸續談了 SAST、依賴掃描、容器掃描、DAST、Secrets 管理。今天要把這些安全檢查收斂起來，組合成一...

技術 Day 28｜Secrets 管理進階：從 Kubernetes Secret 到加密存放

● 前言 在雲端原生環境中，敏感資訊（例如資料庫密碼、API Key、TLS 憑證）是系統運作的核心。若管理不善，就等於把系統鑰匙交給攻擊者。Kubernete...

技術 Day 27｜容器安全檢查：讓 Image 成為可信任的交付物

● 前言 在現代軟體交付中，容器幾乎已經成為主流的部署方式。然而，Image 本身往往隱含著安全風險，可能來自基底映像檔、應用程式套件，甚至是開發過程中未清理的...

技術 Day 25｜DAST 動態應用測試：模擬真實攻擊的安全驗證

● 前言 在軟體開發的安全檢測中，除了 SAST（靜態應用測試） 之外，另一個重要的環節就是 DAST（動態應用測試）。 如果說 SAST 是在源碼層面找漏洞，...

技術 Day 22｜DevSecOps 是什麼？從 DevOps 到安全左移

●前言 在 DevOps 強調快速迭代與持續交付的時代，安全往往被視為最後一道關卡。 但隨著攻擊手法演進，傳統「先開發、再測試、最後才安檢」的模式已經無法因應。...

技術 Day 7 – SCA 實作：讓相依套件也有健康檢查

口號：「程式會動不代表安全；套件能裝不代表無毒。」 今天要達成什麼 在 repo 放入最小可運行範例（含幾個「故意舊版」的依賴） 本機與 CI 兩路...

技術 Day 6 - 網頁還沒跑，就被 SAST 抓包了

今天用 Semgrep 對一個最小可執行的範例進行 SAST：site/index.html（頁面） + site/vuln.js（刻意有洞的 JS）。Push...

技術 Day 5 - 程式會動就不要改 ? 現在還適用嗎，Sec到底用在哪裡?

以前常常講，程式會動，就不要改 現今為追求安全，延伸為「程式會動不代表安全。讓它邊跑、邊挑出風險。」 講到Day4 好像都還沒講到Sec，不知道的以為...

技術 Day25 - 安全的 DevOps 流程：DevSecOps介紹

在今天的文章中，我們將深入探討 DevSecOps 的概念，以及如何將安全性策略整合到 DevOps 流程中。隨著現代應用的快速迭代和佈署，安全性已經成為 De...

技術 在我生命中的每一天 !

看時光飛逝，我祈禱明天，每個小小的夢想能夠慢慢的實現 !我是如此平凡，卻又如此幸運，我要說聲謝謝你，在我生命中的每一天 !(這是一首歌 - 在我生命中的每一天)...

技術 Azure DevOps Security - GitHub Advanced Security for Azure DevOps

前言 今年 Azure DevOps 新增了安全掃描工具 - GitHub Advanced Security for Azure DevOps，將強大的 Gi...

技術 DevSecOps 最佳實踐

前言 在擔任現場工程師與顧問的第三年，許多企業與組織開始詢問 什麼是 DevSecOps 是什麼? 依據過往經驗，大多數團隊認為在 Pipeline 內導入安全...

技術 [Day 30] Oops！最終章 DevSecOps

Oops 終於到了最終章了!!! 讓我們來小小回顧一下，這些三十天的我們的Oops文章 Oops Gitea 系列 [Day 2] Oops！Gitea -...