如何把安全测试集成到 DevOps 流水线中？

How do you integrate security testing into your DevOps pipeline?

题目类型: 技术面试题

这是一道技术面试题，常见于澳洲IT公司面试中。

难度: hard

分类: DevOps

标签: DevSecOps, Q20, DevOps

参考答案摘要

答案 把安全测试“左移并自动化”：在 CI/CD 中集成自动安全工具，对代码与基础设施进行漏洞扫描。常见做法包括 SAST（静态代码安全扫描）与 DAST（动态应用安全测试），并配合依赖库扫描、IaC（基础设施即代码）扫描等。把检查放进构建/部署阶段，自动把结果反馈给开发；同时让安全专家尽早参与需求与设计评审，确保安全贯穿流水线每个阶段。

本题提供 STAR 原则详细解答和技术解析，登录匠人学院学习中心即可查看完整答案。