ccgx-workflow 1.0.0 → 1.0.1

package/templates/skills/domains/devops/devsecops.md

@@ -1,198 +1,198 @@
----
-name: devsecops
-description: DevSecOps。CI/CD安全、供应链安全、合规自动化。当用户提到 DevSecOps、CI/CD、供应链安全、SAST、DAST时使用。
----
-
-# 🔧 炼器秘典 · DevSecOps
-
-
-## 安全左移
-
-```
-┌─────────────────────────────────────────────────────────────┐
-│                    安全左移                                  │
-├─────────────────────────────────────────────────────────────┤
-│  计划 → 编码 → 构建 → 测试 → 发布 → 部署 → 运维 → 监控     │
-│    │      │      │      │      │      │      │      │       │
-│  威胁   SAST   SCA   DAST   签名   配置   日志   告警       │
-│  建模   IDE    依赖   渗透   验证   加固   审计   响应       │
-└─────────────────────────────────────────────────────────────┘
-```
-
-## CI/CD 安全
-
-### GitHub Actions
-```yaml
-name: Security Pipeline
-
-on: [push, pull_request]
-
-jobs:
-  security:
-    runs-on: ubuntu-latest
-    steps:
-      - uses: actions/checkout@v4
-
-      # SAST - 静态分析
-      - name: Run Semgrep
-        uses: returntocorp/semgrep-action@v1
-        with:
-          config: p/security-audit
-
-      # SCA - 依赖扫描
-      - name: Run Trivy
-        uses: aquasecurity/trivy-action@master
-        with:
-          scan-type: 'fs'
-          severity: 'CRITICAL,HIGH'
-
-      # Secret 扫描
-      - name: Run Gitleaks
-        uses: gitleaks/gitleaks-action@v2
-
-      # 容器扫描
-      - name: Build and scan image
-        run: |
-          docker build -t myapp:${{ github.sha }} .
-          trivy image myapp:${{ github.sha }}
-```
-
-### GitLab CI
-```yaml
-stages:
-  - test
-  - security
-  - build
-  - deploy
-
-sast:
-  stage: security
-  image: semgrep/semgrep
-  script:
-    - semgrep --config=p/security-audit .
-
-dependency_scan:
-  stage: security
-  image: aquasec/trivy
-  script:
-    - trivy fs --severity HIGH,CRITICAL .
-
-container_scan:
-  stage: security
-  image: aquasec/trivy
-  script:
-    - trivy image $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA
-```
-
-## 安全扫描工具
-
-### SAST (静态分析)
-```yaml
-工具:
-  - Semgrep: 多语言，规则丰富
-  - SonarQube: 企业级
-  - CodeQL: GitHub 原生
-  - Bandit: Python 专用
-
-集成:
-  - IDE 插件
-  - Pre-commit hooks
-  - CI/CD pipeline
-```
-
-### SCA (依赖扫描)
-```yaml
-工具:
-  - Trivy: 全能扫描
-  - Snyk: 商业方案
-  - OWASP Dependency-Check
-  - npm audit / pip-audit
-
-检查项:
-  - 已知漏洞 (CVE)
-  - 许可证合规
-  - 过期依赖
-```
-
-### DAST (动态分析)
-```yaml
-工具:
-  - OWASP ZAP
-  - Nuclei
-  - Burp Suite
-
-集成:
-  - 部署后自动扫描
-  - 定期扫描
-  - PR 环境扫描
-```
-
-## 供应链安全
-
-### 依赖管理
-```yaml
-原则:
-  - 锁定依赖版本
-  - 定期更新
-  - 审查新依赖
-  - 使用私有仓库
-
-工具:
-  - Dependabot
-  - Renovate
-  - Snyk
-```
-
-### 镜像安全
-```yaml
-原则:
-  - 使用官方基础镜像
-  - 最小化镜像
-  - 扫描漏洞
-  - 签名验证
-
-工具:
-  - Trivy
-  - Cosign (签名)
-  - Notary
-```
-
-### SBOM (软件物料清单)
-```bash
-# 生成 SBOM
-syft packages dir:. -o spdx-json > sbom.json
-
-# 扫描 SBOM
-grype sbom:sbom.json
-```
-
-## 安全门禁
-
-```yaml
-阻断条件:
-  - Critical 漏洞
-  - 高危依赖
-  - Secret 泄露
-  - 许可证违规
-
-警告条件:
-  - High 漏洞
-  - 中危依赖
-  - 代码质量问题
-```
-
-## 合规自动化
-
-```yaml
-检查项:
-  - CIS Benchmark
-  - PCI DSS
-  - SOC 2
-  - GDPR
-
-工具:
-  - Open Policy Agent (OPA)
-  - Checkov
-  - Terrascan
-```
-
+---
+name: devsecops
+description: DevSecOps。CI/CD安全、供应链安全、合规自动化。当用户提到 DevSecOps、CI/CD、供应链安全、SAST、DAST时使用。
+---
+
+# 🔧 炼器秘典 · DevSecOps
+
+
+## 安全左移
+
+```
+┌─────────────────────────────────────────────────────────────┐
+│                    安全左移                                  │
+├─────────────────────────────────────────────────────────────┤
+│  计划 → 编码 → 构建 → 测试 → 发布 → 部署 → 运维 → 监控     │
+│    │      │      │      │      │      │      │      │       │
+│  威胁   SAST   SCA   DAST   签名   配置   日志   告警       │
+│  建模   IDE    依赖   渗透   验证   加固   审计   响应       │
+└─────────────────────────────────────────────────────────────┘
+```
+
+## CI/CD 安全
+
+### GitHub Actions
+```yaml
+name: Security Pipeline
+
+on: [push, pull_request]
+
+jobs:
+  security:
+    runs-on: ubuntu-latest
+    steps:
+      - uses: actions/checkout@v4
+
+      # SAST - 静态分析
+      - name: Run Semgrep
+        uses: returntocorp/semgrep-action@v1
+        with:
+          config: p/security-audit
+
+      # SCA - 依赖扫描
+      - name: Run Trivy
+        uses: aquasecurity/trivy-action@master
+        with:
+          scan-type: 'fs'
+          severity: 'CRITICAL,HIGH'
+
+      # Secret 扫描
+      - name: Run Gitleaks
+        uses: gitleaks/gitleaks-action@v2
+
+      # 容器扫描
+      - name: Build and scan image
+        run: |
+          docker build -t myapp:${{ github.sha }} .
+          trivy image myapp:${{ github.sha }}
+```
+
+### GitLab CI
+```yaml
+stages:
+  - test
+  - security
+  - build
+  - deploy
+
+sast:
+  stage: security
+  image: semgrep/semgrep
+  script:
+    - semgrep --config=p/security-audit .
+
+dependency_scan:
+  stage: security
+  image: aquasec/trivy
+  script:
+    - trivy fs --severity HIGH,CRITICAL .
+
+container_scan:
+  stage: security
+  image: aquasec/trivy
+  script:
+    - trivy image $CI_REGISTRY_IMAGE:$CI_COMMIT_SHA
+```
+
+## 安全扫描工具
+
+### SAST (静态分析)
+```yaml
+工具:
+  - Semgrep: 多语言，规则丰富
+  - SonarQube: 企业级
+  - CodeQL: GitHub 原生
+  - Bandit: Python 专用
+
+集成:
+  - IDE 插件
+  - Pre-commit hooks
+  - CI/CD pipeline
+```
+
+### SCA (依赖扫描)
+```yaml
+工具:
+  - Trivy: 全能扫描
+  - Snyk: 商业方案
+  - OWASP Dependency-Check
+  - npm audit / pip-audit
+
+检查项:
+  - 已知漏洞 (CVE)
+  - 许可证合规
+  - 过期依赖
+```
+
+### DAST (动态分析)
+```yaml
+工具:
+  - OWASP ZAP
+  - Nuclei
+  - Burp Suite
+
+集成:
+  - 部署后自动扫描
+  - 定期扫描
+  - PR 环境扫描
+```
+
+## 供应链安全
+
+### 依赖管理
+```yaml
+原则:
+  - 锁定依赖版本
+  - 定期更新
+  - 审查新依赖
+  - 使用私有仓库
+
+工具:
+  - Dependabot
+  - Renovate
+  - Snyk
+```
+
+### 镜像安全
+```yaml
+原则:
+  - 使用官方基础镜像
+  - 最小化镜像
+  - 扫描漏洞
+  - 签名验证
+
+工具:
+  - Trivy
+  - Cosign (签名)
+  - Notary
+```
+
+### SBOM (软件物料清单)
+```bash
+# 生成 SBOM
+syft packages dir:. -o spdx-json > sbom.json
+
+# 扫描 SBOM
+grype sbom:sbom.json
+```
+
+## 安全门禁
+
+```yaml
+阻断条件:
+  - Critical 漏洞
+  - 高危依赖
+  - Secret 泄露
+  - 许可证违规
+
+警告条件:
+  - High 漏洞
+  - 中危依赖
+  - 代码质量问题
+```
+
+## 合规自动化
+
+```yaml
+检查项:
+  - CIS Benchmark
+  - PCI DSS
+  - SOC 2
+  - GDPR
+
+工具:
+  - Open Policy Agent (OPA)
+  - Checkov
+  - Terrascan
+```
+