Tom3306/devsecops-security-pipeline-lab
GitHub: Tom3306/devsecops-security-pipeline-lab
该项目通过一个小型 Node.js 服务演示了覆盖 SAST、密钥扫描、依赖审查、容器扫描、DAST 和供应链安全的完整 DevSecOps CI/CD 流水线,作为安全工程技能的作品集展示。
Stars: 0 | Forks: 0
# DevSecOps 安全流水线实验室
这个作品集实验室演示了针对小型 Node.js 服务的实用应用安全流水线。
它的目的是向招聘人员展示可见的安全工程技能,而不是毫无凭证地罗列工具。
## 它所展示的内容
- 默认安全的 Express 服务配置,包含 Helmet、请求 ID、JSON body 限制、速率限制和 schema 验证。
- 验证基本功能和防御性标头的单元测试。
- 涵盖 SAST、依赖项审查、密钥扫描、文件系统扫描、容器扫描、DAST 和供应链安全态势的 GitHub Actions 流水线。
- 以 OWASP 为核心的文档,解释了每个控制点能捕获什么,以及它在 AppSec 工作流中的位置。
## 涵盖的工具
| 领域 | 工具 |
| --- | --- |
| SAST | CodeQL, Semgrep |
| 密钥 | Gitleaks |
| 依赖项 | Dependabot, GitHub Dependency Review, Trivy filesystem scan |
| 容器 | Docker, Trivy image scan |
| DAST | OWASP ZAP baseline scan |
| 供应链 | OSSF Scorecard |
| AppSec 模式 | OWASP Top 10 映射、输入验证、安全标头、速率限制 |
## 在本地运行
```
npm install
npm test
npm start
```
默认情况下,该服务监听 `http://127.0.0.1:3000`。
```
curl http://127.0.0.1:3000/healthz
curl 'http://127.0.0.1:3000/api/search?q=appsec'
```
## 为什么这很重要
招聘人员和招聘经理通常希望有证据证明安全工程师能够:
- 理解应用风险;
- 在 CI/CD 中自动化检查;
- 将嘈杂的发现转化为清晰的修复工作;
- 与开发人员协作,而不仅仅是编写报告;
- 解释云、代码、容器、依赖项和 runtime 控制是如何相互关联的。
本仓库将这些技能转化为可见的成果。
## 作品集描述
## 文档
- [安全流水线](docs/security-pipeline.md)
- [应用安全工具图谱](docs/appsec-tool-map.md)
- [AppSec 开源目标](docs/appsec-open-source-targets.md)
- [招聘简介](docs/recruiter-brief.md)
标签:AI应用开发, CI/CD安全, DevSecOps, GitHub Actions, GNU通用公共许可证, Llama, MITM代理, Node.js, SAST, 上游代理, 盲注攻击, 自动笔记, 自定义脚本, 请求拦截