鐵人檔案
這個系列文章會用最平易近人的方式,帶你從零開始,像組裝縫合怪一樣,一步步拼湊出屬於自己的 DevSecOps 流水線。無論你是IT新手,還是只會一點點程式、網路或資安,都能跟著文章從基礎工具到自動化安全檢測,一路學到能展示完整作品。看完後,你不只知道 DevSecOps 怎麼發音,更能親手做出一個會呼吸、會保護自己的專案。
再堅固的城牆,也擋不住你自己把有毒的補給車推進來。 1. 前言 前幾天我們從 程式碼、依賴、Secrets 三個角度逐步加上安全檢查。這些檢查都鎖定「開發層...
如果守門人自己把鑰匙亂放,再高的城牆也沒用。 前言 前面幾天,我們布好了四道防線: 程式碼安全(Bandit) 依賴安全(pip-audit) Secre...
前言 鐵人賽跑到第 13 天,有點像走在一條長長的街道。前面幾天,我們一直在拆解工具、實作流程,像是在拼城牆的磚塊。但今天,先別急著砌下一塊磚。把手裡的工具放下...
很多開發者都會說:「放心啦,我有寫測試。」這句話聽起來很安心,但事實常常是——測試可能只跑過最表面的幾條路徑,剩下大半程式碼根本沒被觸碰。就像消防演習,你以為所...
程式的安全,不只靠「檢查漏洞」,還得確保你用的東西不是十年前的舊貨。 在 Day.9 我們用 pip-audit 掃過套件漏洞,知道了「依賴」可能是系統裡最危險...
前言 在《刀劍神域 (SAO)》裡,整個遊戲世界的生死都綁在系統的「規則書」上。規則決定玩家能不能登出、戰鬥限制、甚至是「死了就真的死了」這種致命條款。如果規...
前言 之前我們談過 如何用工具掃程式碼,檢查是否有人不小心把金鑰 commit 上 GitHub。(點此)那是一種「事後抓包」的防線: 鑰匙掉到地上 → 我趕...
前言 前面我們已經守住了程式碼、依賴、基礎架構 (IaC)、還有金鑰 Secrets。但還有一個大家常忽略的角落:容器鏡像 (Docker image)。 很多...
前言 這幾天,我們讓程式碼經過各種檢查:Lint、測試、安全掃描、容器漏洞… 每一層都守得很緊。但說實話,程式到目前為止還只是「待在 pipeline 裡的考卷...
前言 到目前為止,我們花了 19 天練習 CI,把程式碼測過、掃過,確保「不會壞」。但程式還只是關在 pipeline 裡的考卷,沒真的跑起來。 今天的重點就是...
