什麼是 DevSecOps 中的持續安全測試?
傳統的「開發完再檢測」往往導致高昂的修復代價。DevSecOps 提倡將安全左移(Shift-Left Security):
在編寫程式碼時立即使用 SAST 進行白盒原始碼分析;在應用程式部署至 Staging 測試環境時,立即使用 DAST 進行動態的黑盒模擬攻擊。
CI/CD 自動化安全管道模擬器
Step 1
程式碼提交
Git Push
Step 2 (左移)
SAST 掃描
原始碼分析
Step 3
測試環境部署
Staging Deploy
Step 4 (動態)
DAST 測試
模擬外部攻擊
Step 5
正式發佈
Production
管道運行日誌 (CI/CD Console Log)
🧭 管道安全決策與邏輯
1. Git Push / SAST 階段 (靜態白盒)
當工程師將程式碼提交,系統立即自動調用 SAST 安全檢查。若程式碼分析發現未過濾的安全問題(如未做輸入過濾等),且達到了品質閘門中斷標準,則會在此步驟自動拋出異常並拒絕合併。
2. Staging / DAST 階段 (動態黑盒)
當程式碼通過了白盒檢驗、部署到測試環境運行後,管道自動啟動 DAST 主動式滲透測試,模擬外部黑客實施注入攻擊,確認執行時期的保護網(如防火牆、主機設定)是否牢固。
3. 品質閘道的作用
品質閘道(Quality Gate)是將安全標準變成程式化決策的關鍵。它不允許「先上線再說」的安全缺陷通過發佈流程,是落實 DevSecOps 零信任原則的自動化守門人。
💡 指導說明:
您可以先將預設設定為「含有高危漏洞」,並開啟「發現高危中斷」的品質閘道。執行管道,向學員演示 Pipeline 在第二步 (SAST) 自動被拋出異常並阻斷發佈的場景。隨後切換到「已落實安全修復」重新執行一次,見證綠燈通關!