DebaA17/local-devsecops-pipeline

# 本地 DevSecOps 安全流水线 本仓库演示了在 GitHub Actions 中运行的左移安全验证流水线。它会在部署前验证 Terraform 配置的安全性以及 Docker 容器的漏洞状态。 ## 目录结构 ``` . ├── .github/ │ └── workflows/ │ └── security-pipeline.yml # CI/CD parallel security scanner ├── Dockerfile # Multi-stage non-root Distroless container ├── main.go # Go service with JSON structured logging ├── mock_infra.tf # Mock Terraform config with an open port flaw └── README.md # Documentation ``` ## 工具与扫描器 - **Go 1.22 (`log/slog`)**：微服务代码库。 - **Docker (`distroless/static-debian12:nonroot`)**：最小化的加固容器运行时。 - **Aqua Security Trivy (IaC 配置)**：扫描 `mock_infra.tf` 以检测基础设施漏洞（如果开放了 SSH 端口 22 则会失败）。 - **Aqua Security Trivy (镜像扫描)**：扫描已编译的容器镜像，检测 `HIGH`（高危）和 `CRITICAL`（严重）漏洞 CVE。 ## 本地执行 ### 构建并运行 Go 应用 ``` go run main.go ``` ### 构建并运行 Docker 容器 ``` docker build -t local-service:latest . docker run --rm local-service:latest ``` ### 本地运行安全扫描 ``` # 扫描 IaC configurations trivy config . # 扫描本地 image trivy image local-service:latest ```

标签：DevSecOps, Docker, ECS, Go, Ruby工具, Terraform, 上游代理, 安全防御评估, 左移安全测试, 日志审计, 请求拦截