# DevSecOps 求生術:IT 狗必學嘅安全生存法則
返工嘅時候有冇試過咁嘅情況:老細突然衝過嚟,話新聞見到又爆咗個零日漏洞,問你哋啲 system 有冇中招。你望住成個 infra,心諗:「我都唔知由邊度開始 check 好…」
👉 延伸閱讀:AI 年代 IT 人生存指南:三個令你唔會被淘汰嘅技能
呢個就係冇做好 **DevSecOps** 嘅後果。今日唔係講高深理論,係講你聽日返工即刻做到嘅野,等下次老細殺到埋身你都唔使騰雞。
## DevSecOps 第一誡:Scan 野唔好等出事先做
你可能覺得「我哋有 firewall 㗎嘛」、「公司用緊 cloud provider 佢地會負責安全」。喂阿哥,cloud 係 shared responsibility model,你啲 application code 同 container config 有問題,AWS/Azure/GCP 係唔會幫你 fix 㗎。
DevSecOps 最基本就係:每次 push code 都自動 scan。GitHub Actions、GitLab CI 都有免費嘅 SAST/DAST 工具,用咗先講。set up 一次,以後每次 merge request 都 auto check,唔使煩。
# 最簡單嘅 GitHub Actions security scan
name: Basic Security
on: [pull_request]
jobs:
security:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Run Trivy
uses: aquasecurity/trivy-action@master
with:
scan-type: 'fs'
scan-ref: '.'
exit-code: '0'## DevSecOps 第二誡:Secret Management 唔係 optional
你啲 API key、database password、cloud credential 係咪仲 hardcode 喺 codebase 度?係嘅話你真係要小心,因為最新嗰波 supply chain attack(TrapDoor、Megalodon 等等)就係專門偷 developer environment 嘅 credential。
用 environment variable 已經係比 hardcode 好,但最好係用 vault tool。HashiCorp Vault、AWS Secrets Manager、GitHub Secrets 都好,總之唔好放 plain text 喺 codebase。DevSecOps 嘅核心就係 assume breach — 當你啲 code 一定會俾人睇到,咁 secret 就唔應該喺 code 入面。
仲有個好多人忽略嘅位:.env file 有冇喺 .gitignore?history 入面有冇 commit 過 password?用 `git log -p | grep -i password` check 下,你會嚇一跳。
## DevSecOps 第三誡:Dependency 要定期 update
呢排 npm、PyPI、Crates.io 連環出事,TrapDoor 攻擊橫跨三個 ecosystem,34 個 malicious packages 超過 384 個版本。你 project 啲 dependency 入面有冇中招,你真係知?
# check npm audit
npm audit --production
# Python 可以用 pip-audit
pip install pip-audit
pip-audit
# 或者用 Snyk
npx snyk testDependency update 係好很悶,但係唔做就會變咗下一單新聞嘅主角。DevSecOps 要求每個 sprint 都留時間 update dependency,而唔係等到出事先緊急處理。
## DevSecOps 第四誡:IAM 權限要最少
Least privilege principle 講就容易,做就… 好多時為咗方便就乜都開 admin。尤其是 cloud environment,一個 developer 有 admin access 係好常見嘅事,但萬一佢部機俾人 hack,成個 AWS account 就 bye bye。
DevSecOps 要求每次開新 service 都 audit 一次 IAM role:係咪真係需要呢個 permission?有冇更窄嘅 policy?Service account 係咪跟 resource not user?
## DevSecOps 終極心法:唔好淨係諗 compliance
好多 IT 狗覺得做安全係為咗過 audit、拎 cert。錯喇。DevSecOps 係為咗你夜晚可以安心瞓覺,而唔係凌晨三點收到 PagerDuty alert 然後發現 production 俾人 ransomware 咗。
🔗 參考資料:NVD NIST 漏洞資料庫
由聽日開始,揀一樣最簡單嘅改善做先:加個 security scan 落 CI、update 咗啲 dependency、檢查下 secret management。一步一步嚟,半年後你會發現成個 security posture 完全唔同晒。
#DevSecOps #資訊安全 #打工仔生存指南 #CI/CD #SecurityShiftLeft
