在數位轉型的浪潮之下,企業對於軟體開發速度及品質要求越來越高,如何在加速交付產品的同時,又確保安全與品質不受影響,成為了資訊技術領域的重要課題。DevOps的出現,最初是為了解決開發與維運之間的協作問題,加快產品的迭代速度。然而,DevOps強調快速迭代與部署,往往容易忽略了安全與品質的要求,造成企業管理階層的壓力增加,因而促使資安議題逐漸被重視,DevSecOps的概念隨之興起。
資策會數位轉型研究院組長蔡宗融指出,早在業界普遍談論DevSecOps之前,他們已著手於這一領域的實作與平台建構。原因是最初在推行DevOps時,便發現工程師對安全性普遍認知不足,單靠教育訓練難以彌補現實需求,因此必須透過技術機制,將安全融入開發與維運流程之中。透過與資策會資安所的緊密合作,他們逐步構建出具高度實務性的DevSecOps管理平台,不僅成功應用於自身千餘項專案,更協助外部企業實踐「安全左移」(Shift Left),強化軟體供應鏈風險控管與合規能力。
平台思維打造一體化開發體系
回顧DevOps的發展歷程,蔡宗融提及,許多過去的嘗試都侷限於單一系統、短期部署,無法大規模複製或標準化。主要瓶頸在於缺乏統一技術底層與工具鏈,導致每一條開發流程Pipeline都需重新設計,難以規模化管理。然而,隨著容器技術與Kubernetes生態系的成熟,這道門檻被有效突破。資策會團隊積極導入這些技術,奠定了DevSecOps平台化發展的基礎,讓不同專案之間得以共用標準流程與安全工具鏈,有效實現自動化、安全性與可重複性的兼顧。
他進一步說明,不少企業在實踐DevOps時,常陷入「工具導向」的迷思,為了解決局部問題便不斷堆疊新工具,造成流程碎片化與維運複雜化。而資策會則採取「平台導向」策略,將Redmine(任務管理)、GitLab(版本控制與CI/CD)與Harbor(容器映像檔管理)三大開源工具整合成一站式開發平台,再配合Python、Java等範本環境模組,構建出高度模組化、可重複套用的DevSecOps實作架構。 此平台具備容器化部署能力,無論以Kubernetes或Rancher作為運行環境皆可無縫對接,內建SonarQube等自動化程式碼分析工具,進一步強化程式品質管理。針對不同企業需求,也提供線上試用、單機體驗與企業正式版等多樣使用模式,讓開源工具能在本土產業環境中真正落地,提升整體軟體交付品質與安全成熟度。
安全工具嵌入CI/CD減少人力介入
DevSecOps的核心精神,在於將安全實務自動化地嵌入CI/CD流程之中,讓安全測試成為持續交付的一部分。只是不同的開發模式,對DevSecOps的依賴程度也有所不同。蔡宗融說明,傳統瀑布式開發流程較為階段化,需求明確、變動性低,資安檢測可集中於特定階段。然而,敏捷式開發則因需求不斷演變、版本頻繁更新,使得資安風險與日俱增,若無法藉助自動化工具持續監控與測試,極易於開發過程中遺漏潛藏漏洞。
因此,DevSecOps所強調的自動化測試與可重複驗證流程,便成為敏捷開發的資安保障機制。自動化資安檢測系統,如同一種回歸測試的延伸,可有效發現功能修改後所衍生的新問題,確保每次更新不會破壞原有安全機制。透過整合於CI/CD流程的方式,自動完成測試、部署、回饋,大幅減少人工干預,實現快速、安全且具一致性的交付節奏。
資策會推出的「III DevSecOps」平台,正是這種策略實踐的具體成果。其核心整合Redmine、GitLab與Harbor構成平台骨幹,並納入多款主流資安工具與AI輔助模組,支援多項安全測試工作,如靜態分析(SAST)、動態測試(DAST)、開源元件分析(SCA)、基礎設施即程式碼(IaC)掃描,及自動生成軟體物料清單(SBOM),涵蓋整個軟體供應鏈安全。
進一步來看,III DevSecOps引入AI修復模組,自動對應用程式弱點進行修復建議與程式碼置換,使安全左移不再只是理論主張,而是能實際操作與落實的技術成果。當開發者在GitLab提交新功能時,AI可即時檢測與建議修補策略,大幅提升修正效率。
資策會數位轉型研究院組長蔡宗融建議,企業應積極推動組織文化的轉型,搭配適當的工具與訓練,才能有效落實DevSecOps,實現安全與快速交付的平衡,提升企業的整體競爭力。
在平台整合方面,III DevSecOps與主流CI/CD工具高度相容,對GitLab具深度整合能力,標準化YAML配置文件,降低企業導入門檻與維運複雜度。平台預設支援SonarQube、Semgrep、Checkmarx、OWASP ZAP、WebInspect、Trivy、Syft+Grype等多項SAST/DAST/SCA工具,也能針對Kubernetes YAML與Dockerfile等IaC元件進行完整掃描,成為雲原生環境的首道防線。
資策會在推行III DevSecOps平台時,亦十分重視安全政策的一致性與治理體系的標準化。透過將資安工具鏈直接嵌入CI/CD流程,使得每次提交、建置、部署的安全檢查皆可自動化完成。同時結合SonarQube的漏洞風險優先排序機制、ZAP的自動化測試腳本,減輕人力負擔。配合Harbor與Rancher強化容器映像管理與部署安全,為企業雲端應用建立穩固的安全防線。
從技術實作到平台建構,III DevSecOps優勢在於在地化、可實踐的DevSecOps進化路徑,成為推動台灣企業資安轉型的重要引擎。蔡宗融強調,隨著AI、開源、雲原生等技術持續進化,平台亦將持續強化其模組化、自動化與可維運性,協助更多企業打造具備安全韌性的現代化開發體系。