在產品更新節奏越來越快的今天,為什麼系統依然會被漏洞打爆、上線後才發現配置錯誤、團隊對「安全」的理解各說各話?因為大家嘴上說要「把安全融進流程」,心裡想的卻是「等出事了再補洞」。
這個 60 天的系列,將從日常開發中的安全盲點出發,帶你逐步認識並實踐讓 Dev + Sec + Ops 真正站在同一條戰線的工作方法。
Day 1 – 前言:幹嘛花 30 天來學這鬼 DevSecOps? 第一次參加 鐵人賽 對我來說緊張又刺激?本來以為自己應該選個純資安題目弱點掃描之每天修補計...
如題,Day2就是要來講Git 簡單介紹 DevSecOps 之路的第一步,先把專案推上雲端,才能開始玩自動化與安全掃描。本科生就跳過今天吧~怕會看到睡著...
英雄再強,也得先把他請到你的電腦裡 沒有 Git,本地的專案就像是沒有存檔功能的遊戲,一切只能靠天意。 講到這個想到最近剛追玩排球少年,裡面也有一個超級英雄...
超級英雄再強,終究是一個人 題外話時間:我以為可以連續寫兩天,然後隔天就不用寫..結果就是我鐵人賽斷了..好好笑 接續 Day 3:英雄已經把「樹」寫進日...
以前常常講,程式會動,就不要改 現今為追求安全,延伸為「程式會動不代表安全。讓它邊跑、邊挑出風險。」 講到Day4 好像都還沒講到Sec,不知道的以為...
今天用 Semgrep 對一個最小可執行的範例進行 SAST:site/index.html(頁面) + site/vuln.js(刻意有洞的 JS)。Push...
口號:「程式會動不代表安全;套件能裝不代表無毒。」 今天要達成什麼 在 repo 放入最小可運行範例(含幾個「故意舊版」的依賴) 本機與 CI 兩路...
今天的主線任務:避免憑證外洩。(翻譯:別再把 API Key 當早餐一起推上 GitHub 了🥲) 情境小劇場 想像一下,你 push 的不是程式碼,而是...