Tom3306/devsecops-security-pipeline-lab

GitHub: Tom3306/devsecops-security-pipeline-lab

该项目通过一个小型 Node.js 服务演示了覆盖 SAST、密钥扫描、依赖审查、容器扫描、DAST 和供应链安全的完整 DevSecOps CI/CD 流水线,作为安全工程技能的作品集展示。

Stars: 0 | Forks: 0

# DevSecOps 安全流水线实验室 这个作品集实验室演示了针对小型 Node.js 服务的实用应用安全流水线。 它的目的是向招聘人员展示可见的安全工程技能,而不是毫无凭证地罗列工具。 ## 它所展示的内容 - 默认安全的 Express 服务配置,包含 Helmet、请求 ID、JSON body 限制、速率限制和 schema 验证。 - 验证基本功能和防御性标头的单元测试。 - 涵盖 SAST、依赖项审查、密钥扫描、文件系统扫描、容器扫描、DAST 和供应链安全态势的 GitHub Actions 流水线。 - 以 OWASP 为核心的文档,解释了每个控制点能捕获什么,以及它在 AppSec 工作流中的位置。 ## 涵盖的工具 | 领域 | 工具 | | --- | --- | | SAST | CodeQL, Semgrep | | 密钥 | Gitleaks | | 依赖项 | Dependabot, GitHub Dependency Review, Trivy filesystem scan | | 容器 | Docker, Trivy image scan | | DAST | OWASP ZAP baseline scan | | 供应链 | OSSF Scorecard | | AppSec 模式 | OWASP Top 10 映射、输入验证、安全标头、速率限制 | ## 在本地运行 ``` npm install npm test npm start ``` 默认情况下,该服务监听 `http://127.0.0.1:3000`。 ``` curl http://127.0.0.1:3000/healthz curl 'http://127.0.0.1:3000/api/search?q=appsec' ``` ## 为什么这很重要 招聘人员和招聘经理通常希望有证据证明安全工程师能够: - 理解应用风险; - 在 CI/CD 中自动化检查; - 将嘈杂的发现转化为清晰的修复工作; - 与开发人员协作,而不仅仅是编写报告; - 解释云、代码、容器、依赖项和 runtime 控制是如何相互关联的。 本仓库将这些技能转化为可见的成果。 ## 作品集描述 ## 文档 - [安全流水线](docs/security-pipeline.md) - [应用安全工具图谱](docs/appsec-tool-map.md) - [AppSec 开源目标](docs/appsec-open-source-targets.md) - [招聘简介](docs/recruiter-brief.md)
标签:AI应用开发, CI/CD安全, DevSecOps, GitHub Actions, GNU通用公共许可证, Llama, MITM代理, Node.js, SAST, 上游代理, 盲注攻击, 自动笔记, 自定义脚本, 请求拦截