iT邦幫忙

鐵人檔案

2025 iThome 鐵人賽
回列表
DevOps

60天從零開始學DevSecOps 系列

在產品更新節奏越來越快的今天,為什麼系統依然會被漏洞打爆、上線後才發現配置錯誤、團隊對「安全」的理解各說各話?因為大家嘴上說要「把安全融進流程」,心裡想的卻是「等出事了再補洞」。

這個 60 天的系列,將從日常開發中的安全盲點出發,帶你逐步認識並實踐讓 Dev + Sec + Ops 真正站在同一條戰線的工作方法。

參賽天數 2 天 | 共 8 篇文章 | 4 人訂閱 訂閱系列文 RSS系列文 團隊東大小羅
DAY 1

Day 1 – 前言:幹嘛花 30 天來學這鬼 DevSecOps?

Day 1 – 前言:幹嘛花 30 天來學這鬼 DevSecOps? 第一次參加 鐵人賽 對我來說緊張又刺激?本來以為自己應該選個純資安題目弱點掃描之每天修補計...

2025-08-14 ‧ 由 and910805 分享
DAY 1

Day 2 -Git是超級英雄?

如題,Day2就是要來講Git 簡單介紹 DevSecOps 之路的第一步,先把專案推上雲端,才能開始玩自動化與安全掃描。本科生就跳過今天吧~怕會看到睡著...

2025-08-14 ‧ 由 and910805 分享
DAY 2

Day 3 - 召喚超級英雄:Git 安裝

英雄再強,也得先把他請到你的電腦裡 沒有 Git,本地的專案就像是沒有存檔功能的遊戲,一切只能靠天意。 講到這個想到最近剛追玩排球少年,裡面也有一個超級英雄...

2025-08-15 ‧ 由 and910805 分享
DAY 2

Day 4 -超級英雄的隊友:啟動 GitHub Actions 自動化冒險

超級英雄再強,終究是一個人 題外話時間:我以為可以連續寫兩天,然後隔天就不用寫..結果就是我鐵人賽斷了..好好笑 接續 Day 3:英雄已經把「樹」寫進日...

2025-08-17 ‧ 由 and910805 分享
DAY 2

Day 5 - 程式會動就不要改 ? 現在還適用嗎,Sec到底用在哪裡?

以前常常講,程式會動,就不要改 現今為追求安全,延伸為「程式會動不代表安全。讓它邊跑、邊挑出風險。」 講到Day4 好像都還沒講到Sec,不知道的以為...

2025-08-18 ‧ 由 and910805 分享
DAY 2

Day 6 - 網頁還沒跑,就被 SAST 抓包了

今天用 Semgrep 對一個最小可執行的範例進行 SAST:site/index.html(頁面) + site/vuln.js(刻意有洞的 JS)。Push...

2025-08-19 ‧ 由 and910805 分享
DAY 2

Day 7 – SCA 實作:讓相依套件也有健康檢查

口號:「程式會動不代表安全;套件能裝不代表無毒。」 今天要達成什麼 在 repo 放入最小可運行範例(含幾個「故意舊版」的依賴) 本機與 CI 兩路...

2025-08-20 ‧ 由 and910805 分享
DAY 2

Day 8 - 別再把金庫鑰匙推上雲

今天的主線任務:避免憑證外洩。(翻譯:別再把 API Key 當早餐一起推上 GitHub 了🥲) 情境小劇場 想像一下,你 push 的不是程式碼,而是...

2025-08-21 ‧ 由 and910805 分享