DevSecOps 如何將安全性整合進 CI/CD 流水線？

DevSecOps 概念

"Shift Left Security"：將安全性檢查盡可能前移至開發早期，而非在最後部署前才做安全審查。問題發現越早，修復成本越低。

CI/CD 各階段的安全工具

程式碼提交階段（Pre-commit / PR）

• Secret Scanning：偵測意外提交的 API Keys、密碼（工具：GitGuardian、truffleHog）
• IDE 安全插件：即時提示開發者的安全問題

建置階段

• SAST（靜態應用程式安全測試）：分析原始碼找出漏洞，不需執行程式（工具：SonarQube、Semgrep、CodeQL）
• SCA（軟體組成分析）：掃描第三方依賴的已知 CVE 漏洞（工具：Snyk、OWASP Dependency-Check）

打包階段

• Container Image Scanning：掃描 Docker image 中的作業系統和套件漏洞（工具：Trivy、Grype、ECR scanning）

部署後

• DAST（動態應用程式安全測試）：對執行中的應用程式進行滲透測試（工具：OWASP ZAP）
• Runtime Security：偵測容器執行時的異常行為（工具：Falco）

安全閘門 (Security Gates)

在 pipeline 中設定安全閘門：發現高危漏洞（CVSS >= 7.0）時自動失敗，阻止不安全的程式碼進入生產環境。