buddinikhilesh/devsecops-pipeline

# devsecops-pipeline 包含 SAST/DAST、SonarQube 质量门禁、 OPA 策略即代码以及零信任 IAM 强制执行的 DevSecOps CI/CD 流水线。 基于企业级真实安全自动化模式构建。 ## 解决的问题 - 将安全扫描直接内置到每次流水线运行中 - 通过 OPA 策略即代码阻止不安全的部署 - 在投产前进行容器漏洞扫描 - 跨所有环境强制执行零信任 IAM - 利用质量门禁阻止不良代码进入生产环境 ## 流水线阶段 | 阶段 | 工具 | 检查内容 | |---|---|---| | SAST 扫描 | SonarQube | 源代码漏洞 | | OPA 策略检查 | OPA + Rego | 基础设施策略合规性 | | 容器扫描 | Trivy | Docker 镜像漏洞 | | 部署 | ArgoCD | 仅在所有门禁通过后运行 | ## 结构 | 文件夹 | 内部包含 | |---|---| | `.github/workflows/` | GitHub Actions 流水线定义 | | `policies/` | OPA Rego 策略文件 | ## 前置条件 - 已启用 GitHub Actions - 正在运行的 SonarQube 实例 - 已安装 Docker ## 相关简历项目 - 项目 ShieldPath — Southwest Airlines 的 DevSecOps 强制执行平台 - 项目 IronWatch — 零信任安全与可观测性平台 - 项目 Sentinel — Cognizant 的零信任安全强制执行

标签：ArgoCD, CISA项目, DAST, DevOps安全, DevSecOps, Docker, GitHub Actions, GitOps, Groq API, IAM, JSONLines, OPA, Rego, SAST, SonarQube, StruQ, Web截图, 上游代理, 代码审查自动化, 代码质量门禁, 企业级安全, 动态应用安全测试, 安全合规, 安全基线, 安全左移, 安全防御评估, 容器安全, 容器漏洞扫描, 开源框架, 恶意软件分析, 持续交付, 持续集成, 搜索语句（dork）, 教学环境, 生产环境保护, 盲注攻击, 策略即代码, 结构化提示词, 网络代理, 聊天机器人安全, 自动笔记, 请求拦截, 身份与访问管理, 软件供应链安全, 远程方法调用, 防护自动化, 零信任, 静态应用安全测试, 靶场