demab14/teya-cicd-pipeline

# 安全 CI/CD 流水线 ### le headings separated by dots. I think the intention is to translate this entire line into Chinese, but keep the technical terms in English. 在每个阶段嵌入安全防护的生产级 DevSecOps 流水线。 ## 流水线 1. SAST 与密钥扫描 (Semgrep) 2. IaC 扫描 (Checkov) 3. 容器 CVE 扫描 + SBOM (Trivy) 4. 通过 OIDC 推送至 ECR —— 无需存储凭据 5. 部署至 ECS Fargate 并设置人工审批门控 ## 安全控制 - OIDC 认证 —— 无静态 AWS 凭据 - 不可变镜像标签 (Git SHA) - ECS 任务运行于私有子网 - 只读文件系统 + 丢弃所有 Linux 能力 - 每次构建生成 SBOM (PCI-DSS 审计追踪)

标签：AWS ECS Fargate, DevSecOps, Docker, ECR, ECS, GitHub Actions, OIDC 认证, PCI-DSS, Semgrep, Terraform, Web截图, WordPress安全扫描, 上游代理, 不可变镜像标签, 合规管道, 基础设施即代码扫描, 安全工程, 安全扫描, 安全防御评估, 容器安全, 开源框架, 手动审批门控, 持续部署, 持续集成, 时序注入, 私有子网, 自动笔记, 请求拦截, 跌倒检测, 软件物料清单, 金融科技, 静态应用安全测试