了解雲端安全的權威機構 Cloud Security Alliance (CSA) 所提出的 DevSecOps 六大支柱，並且認識最新的 CNCF 沙盤專案 Kubescape 是如何為 K8s 集群帶來更好的安全性和擴展性。此次的分享你將會：

1. 了解 CSA DevSecOps 六大支柱
2. 認識 Kubescape 以及它的效用
3. 了解 Kubescape 實現了六大支柱哪些關鍵要素

使用雲端平台、SaaS 平台以及 CI/CD 平台，最重要的鐵則就是最小權限原則 Principle of Least Privilege (PoLP)，我們總是認為盡可能的設定最小的權限，就能保障系統的安全，但事實真的是如此嗎？本議程將介紹 Github Actions API 的誤用導致權限提升以及劫持 CI/CD 流程、竄改 Repository 的有趣案例。在這個案例中，儘管開發者完全依照了官方 Document 所建議的設定所有權限，符合最小權限原則，但依然導致網站被 Compromise 的弱點利用方式。

軟體開發中的安全性一直是個棘手問題。隨著敏捷開發和 DevOps 的盛行，安全檢測和修復也需要自動化，但傳統方式效率低下，因此 DevSecOps 應運而生。

多年來，DevSecOps 一直尋求徹底解決之道，現在 AI 技術可以提供助力。

本場演講將展示 AI 於 DevSecOps 中的實際應用，首先，AI 可以基於企業內部 Code Base，自動生成新的高品質程式碼，為開發者提供參考，提升效率。更關鍵的是，AI 將主動掃描 Code Smell 和安全漏洞，並自動生成修復方案並一鍵修補，徹底根除隱患。

現場展示將呈現 AI 生成和修復程式碼的過程，展現其高效和安全保證，同時也將改變傳統 DevSecOps 模式。期待您一同認識和應用這股新興趨勢。

分享公部門傳統的 Web 應用系統，從採用容器工具應用在 CI 整合，延伸到 CICD 與資安檢測、SBOM 列出等 pipeline 建立，直到自動化部署至正式環境容器平台，說明可從轉換容器平台後可達成 DevSecOps 的兼具安全與敏捷流程，更有驚人的資源、時間、人力、維運作業的節省，希望分享給與會人員參考。

在我的演講中，我將重點介紹我們公司作為一家雲端 SaaS 服務和應用程式開發提供商，是如何實現 IaC ( 基礎設施即代碼 ) 與 DevSecOps 的緊密結合，並分享這一整合對於提升開發流程和運維效率的影響。我們的經驗表明，透過 IaC 的無人工干預和自動化特性，能顯著加強 DevSecOps 框架，從而提升整體的效能和安全性。

在這個過程中，我們深刻體驗到將 IaC 融入 DevSecOps 的流程，不僅提高了基礎設施的部署速度和一致性，還降低了人為錯誤，確保了更高的安全和可靠性。這種整合對於我們的雲端 SaaS 服務和跨平台應用程式開發都至關重要。

在演講中，我將分享具體的實施流程和經驗，包括代碼提交、安全審查、基礎設施部署和更新等環節的自動化實踐。這些案例將展示我們如何利用 IaC 和 DevSecOps 的結合，不僅在技術層面上提升效率，而且在業務流程和安全管理方面帶來了革命性的改進。

通過這場演講，我希望向聽眾展示 IaC 與 DevSecOps 結合的巨大價值，並提供可操作的策略，幫助他們在自己的項目中實現類似的成功。

隨著企業在容器使用上的成熟，容器安全也越來越受到重視。容器安全性是一個多面向的議題，涉及各種潛在威脅和複雜的技術挑戰。本次的分享中，會分享開發和維運使用中常見的安全提醒和建議，以幫助團隊在利用容器技術時，能夠更聰明、安全且有效地管理與降地風險。

SDLC 是企業的發展基礎，DevOps 是企業的思維轉型，SSDLC 與 DevSecOps 是大環境驅使下不得不的層次轉化，但風險的掌握與文化的建立，將是衝擊企業存續的關鍵。