DevOps核心理念
质量安全基石
课程目标与路径
Git Flow
GitHub Flow
Trunk-Based
分支保护 & Code Review
什么是SAST
SonarQube / ESLint / Pylint
CI/CD集成
什么是DAST
OWASP ZAP / Burp Suite
CI/CD集成
依赖管理
Snyk / OWASP Dependency-Check
自动化漏洞扫描
JUnit / pytest
TDD红绿重构
覆盖率与质量门禁
集成测试策略
Pact / Spring Cloud Contract
微服务测试挑战
CI核心原则
Jenkins / GitLab CI / GitHub Actions
流水线即代码
CD与CI区别
蓝绿部署 / 金丝雀
滚动更新 & 回滚
Terraform / Ansible
Checkov / tfsec
配置漂移检测
Dockerfile最佳实践
Trivy / Clair
最小化镜像 & 多阶段构建
Pod安全策略
网络策略 / RBAC
Secrets / Kube-bench
Vault / Hashicorp Vault
CI/CD密钥注入
避免硬编码
ELK/EFK栈
Prometheus & Grafana
日志审计与异常检测
SOAR概念
自动化告警与响应
Playbook设计
Shift Left安全
安全门禁
团队协作与责任
Code Review最佳实践
自动化+人工审查
Review Checklist
OWASP API Top 10
Postman / OWASP ZAP
自动化API测试
数据库访问控制
SQL注入防护
Liquibase / Flyway
GDPR / PCI-DSS / SOC2
合规即代码
审计日志与证据
混沌工程原则
Chaos Monkey / Litmus
CI/CD混沌实验
JMeter / k6
安全对性能影响
容量规划与压力测试
软件供应链攻击
SBOM
Sigstore / Cosign
OWASP Top 10详解
输入验证 / 输出编码
安全设计原则
STRIDE模型
Microsoft TMT / Threat Dragon
持续威胁建模
SAST/DAST/SCA/IAST整合
结果聚合与仪表盘
质量门禁设计
课程回顾
AI在DevOps安全
Serverless安全 / 零信任