隨著DevOps十多年的發展，軟體開發實現了快速交付，使其產品更具市場競爭力。然而，傳統的安全審核和評估模式已經跟不上時代的進度，甚至成為了軟體開發快速交付的瓶頸。為了解決這一問題，DevSecOps應運而生。DevSecOps（DevOps + 安全）通過將安全左移，融入到DevOps各個階段，使得不僅是安全人員，而是所有人都對安全負責。由於安全問題可以在更早的階段被發現甚至解決，產品上線前的安全評審不再成為快速交付的瓶頸，並且也降低了安全漏洞修復的成本。

本次分享介紹了DevSecOps的好處、實現DevSecOps的挑戰以及安全左移的理念，並結合大型國際銀行的案例詳細講解如何建立DevSecOps體系和落地DevSecOps，例如左移各種DevSecOps技術、構建DevSecOps度量、提高團隊安全開發能力，以及建設DevSecOps文化等。在成功將安全左移到開發階段的成熟DevSecOps體系下，還將探討如何實現安全的進一步左移——將安全架構左移給開發團隊的實踐，從而在更早階段避免和消除安全威脅和隱患，最終降低成本並提高研發效率。

在全球地緣政治緊張的背景下，台灣企業正面臨著前所未有的資安挑戰，國家級駭客的攻擊已成為我們共同的嚴峻處境。作為台灣的軟體開發商，網擎資訊 Openfind 深刻感受到嚴苛的挑戰，憑藉豐富的實戰經驗與持續精進的作為，落地實踐 DevSecOps 的道路。本議程將公開分享真實攻防案例，剖析最新駭客手法，並探討如何通過主動監控和安全開發流程的持續優化，將每次資安事件轉化為提升安全性的契機。我們期望透過本次分享，提升軟體工程師的安全開發意識，協助大家更全面地應對這些複雜的安全挑戰，攜手建立更穩固、更安全的軟體開發生態系統。

1. 我們將探討金融業面臨的安全挑戰，介紹 OPA（Open Policy Agent）的基本概念及其在 k8s 環境中的應用。接著，我們會說明如何在 k8s 上實施 OPA，包括初步設置、安全策略的撰寫與驗證，以及實際的部署案例。
2. 我們還會討論如何將 OPA 與 Azure DevOps 整合，利用其 Git 平台進行版本控制和持續集成，並在 Azure DevOps 中管理 OPA 策略。此外，我們將探討 DevOps 安全最佳實踐，包括持續安全集成和自動化測試，確保代碼和部署的安全性。
3. 最後，我們會分享一些最佳實踐和建議，並開放 Q&A 時間解答大家的疑問。希望這次的演講能幫助大家更好地理解 OPA 在金融業 k8s 部署安全中的應用。

傳統上，個人開發者要進行程式碼安全檢測，通常需要依賴昂貴的工具或專業服務。這對許多個人開發者來說可能是一大挑戰，因為他們的預算有限。然而，現在隨著語言模型技術的發展，我們有了更具成本效益的解決方案。

在本次演講中，我們將分享如何利用語言模型來提高程式碼安全性

首先，我們將介紹如何自己訓練語言模型以進行程式碼漏洞檢測。這意味著各位開發者可以利用自己的資源，無需依賴外部服務，即可建立起自己的安全檢測系統

其次，將示範如何利用現有的語言模型來快速檢測程式碼中的漏洞。這將使各位開發者能夠以更經濟實惠的方式確保程式碼的安全性，同時提高對程式碼安全的認識和能力

此外，還將演示一些常見但不正確的程式寫法，以便大家更深入地了解程式碼安全的重要性

『會在演講當天開源該專案』

因為 KEYNOTE《大型國際銀行DevSecOps的進一步實踐 - 架構安全左移》將以預錄演講影片呈現，特別邀請周紀海老師於本時段連線與大家進行問答與交流！