● 前言 回顧這 30 天的旅程,從基礎的 DevOps 概念,到 CI/CD、容器化、Kubernetes,再到安全檢測與 DevSecOps 整合,每一天都...
● 前言 從 Day 24 到 Day 28,我們陸續談了 SAST、依賴掃描、容器掃描、DAST、Secrets 管理。今天要把這些安全檢查收斂起來,組合成一...
● 前言 在雲端原生環境中,敏感資訊(例如資料庫密碼、API Key、TLS 憑證)是系統運作的核心。若管理不善,就等於把系統鑰匙交給攻擊者。Kubernete...
● 前言 在現代軟體交付中,容器幾乎已經成為主流的部署方式。然而,Image 本身往往隱含著安全風險,可能來自基底映像檔、應用程式套件,甚至是開發過程中未清理的...
● 前言 在軟體開發的安全檢測中,除了 SAST(靜態應用測試) 之外,另一個重要的環節就是 DAST(動態應用測試)。 如果說 SAST 是在源碼層面找漏洞,...
●前言 在 DevOps 強調快速迭代與持續交付的時代,安全往往被視為最後一道關卡。 但隨著攻擊手法演進,傳統「先開發、再測試、最後才安檢」的模式已經無法因應。...
口號:「程式會動不代表安全;套件能裝不代表無毒。」 今天要達成什麼 在 repo 放入最小可運行範例(含幾個「故意舊版」的依賴) 本機與 CI 兩路...
今天用 Semgrep 對一個最小可執行的範例進行 SAST:site/index.html(頁面) + site/vuln.js(刻意有洞的 JS)。Push...
以前常常講,程式會動,就不要改 現今為追求安全,延伸為「程式會動不代表安全。讓它邊跑、邊挑出風險。」 講到Day4 好像都還沒講到Sec,不知道的以為...
在今天的文章中,我們將深入探討 DevSecOps 的概念,以及如何將安全性策略整合到 DevOps 流程中。隨著現代應用的快速迭代和佈署,安全性已經成為 De...
看時光飛逝,我祈禱明天,每個小小的夢想能夠慢慢的實現 !我是如此平凡,卻又如此幸運,我要說聲謝謝你,在我生命中的每一天 !(這是一首歌 - 在我生命中的每一天)...
前言 今年 Azure DevOps 新增了安全掃描工具 - GitHub Advanced Security for Azure DevOps,將強大的 Gi...
前言 在擔任現場工程師與顧問的第三年,許多企業與組織開始詢問 什麼是 DevSecOps 是什麼? 依據過往經驗,大多數團隊認為在 Pipeline 內導入安全...
Oops 終於到了最終章了!!! 讓我們來小小回顧一下,這些三十天的我們的Oops文章 Oops Gitea 系列 [Day 2] Oops!Gitea -...