CI/CD 中的安全闸门：

不是“卡人”的流程，而是帮你少背锅的自动化安全测试流水线

我是 Echo_Wish，干运维这么多年，有一个感受越来越强烈：

线上出安全事故，十有八九不是“不会安全”，而是“没在对的地方拦一下”。

而那个最该拦、也最容易拦的地方，就是 ——
👉 CI/CD 流水线。

今天咱就聊一个很现实的问题：

安全，能不能像单元测试一样，自动跑、自动拦、自动背锅？

答案是：不仅能，而且必须。

一、先把话说明白：CI/CD 里的“安全闸门”到底是啥？

一句大白话解释：

安全闸门 = 流水线里“过不去就别上线”的自动化检查点。

不是靠人肉 review
不是靠上线前拍脑袋
而是靠工具 + 规则 + 阈值

常见的安全闸门主要两类：

• 🔍 SAST（静态安全测试）：不跑代码，看代码
• 🧪 DAST（动态安全测试）：跑起来，从外面打

这俩，就像：

• SAST：代码体检
• DAST：上线前压力测试 + 模拟攻击

二、为什么我一直强调：安全必须进 CI/CD？

我说句可能得罪人的话：

“上线前补安全”，基本等于没补。

原因很简单：

• 安全问题发现越晚，代价越高
• 线上再修，影响业务、影响 SLA、影响奖金
• 最后锅多半还是运维和开发一起背

而 CI/CD 有三个天然优势：

1. 自动化（不靠人）
2. 前置化（还没上线就发现）
3. 可追责（流水线记录比嘴靠谱）

三、第一道闸：SAST —— 别让“有毒代码”进仓库

1️⃣ SAST 到底在干啥？

简单说：

扫描源代码，找潜在漏洞和危险写法。

比如：

• SQL 注入
• 命令注入
• 明文密码
• 不安全反序列化
• 危险函数调用

它不需要应用跑起来，非常适合 PR / Build 阶段。

2️⃣ 一个真实的 SAST 场景（GitLab CI）

以 Semgrep 为例（我个人非常推荐）：

sast_scan:
  stage: test
  image: returntocorp/semgrep
  script:
    - semgrep scan --config=auto --error

这一行 --error，就是安全闸门的灵魂：

👉 发现高危问题，流水线直接失败。

这不是“建议”，这是“红线”。

3️⃣ SAST 真正的价值，不是“全扫干净”

我踩过一个坑：

• 一上来就 零容忍
• 结果扫描出几百条历史问题
• 流水线天天红
• 最后被迫关掉 SAST

正确姿势是：

• 先只卡 新增代码
• 先只卡 高危规则
• 慢慢收紧

安全闸门不是一刀切，是逐步收紧的阀门。

四、第二道闸：DAST —— 别以为“能跑”就等于“安全”

1️⃣ DAST 是干啥的？

一句话版：

站在黑客视角，拿你的系统当靶子打。

常见检查包括：

• XSS
• SQL 注入
• 未授权访问
• 弱口令
• API 越权

它的前提是：
👉 应用得先跑起来

所以它通常在：

• Staging 环境
• 或临时测试环境

2️⃣ 用 OWASP ZAP 做自动化 DAST

docker run -t owasp/zap2docker-stable zap-baseline.py \
  -t http://staging.example.com \
  -r zap_report.html \
  -m 5

这一步可以直接塞进流水线里。

你甚至可以：

• 高危漏洞 > 0 → 直接 fail
• 中危只报警不阻断

3️⃣ DAST 的真实价值是什么？

不是“全打穿”，而是：

• 提前发现配置问题
• 提前发现认证漏洞
• 提前发现接口裸奔

我见过太多系统：

• 本地测试 OK
• 功能测试 OK
• 一上线，被人直接扫出后台接口

DAST 就是替你挨打的那个工具人。

五、真正成熟的流水线，SAST + DAST 是组合拳

一个合理的安全流水线结构大概是：

提交代码
  ↓
SAST（代码安全）
  ↓
构建镜像
  ↓
部署测试环境
  ↓
DAST（运行时安全）
  ↓
人工审批（可选）
  ↓
生产发布

注意一点：

安全闸门不是替代人，而是让人只关注“该关注的地方”。

六、说点掏心窝子的：为什么很多团队“安全流水线”做不下去？

我总结过失败原因，几乎都一样：

❌ 1. 一上来就太理想主义

• 所有规则全开
• 所有漏洞必须清零

现实是：
👉 技术债比你想象得重得多。

❌ 2. 安全只属于“安全团队”

如果：

• 开发看不懂报告
• 运维只能背锅
• 安全只发 Excel

那这套体系注定失败。

安全必须开发、运维一起扛。

❌ 3. 把“安全”做成“流程负担”

如果安全 =：

• 多填表
• 多审批
• 多等一天

那大家第一反应一定是：
👉 “怎么绕过去？”

而不是“怎么做好”。

七、我自己的一个态度（也算个人观点）

好的安全闸门，不是“拦人”，而是“替人挨雷”。

• 它不靠喊口号
• 它不靠人记规范
• 它靠工具兜底

运维的价值，也不只是“救火”，
而是 让火尽量别烧起来。

八、最后一句话送你

CI/CD 里没有安全闸门，
就等于高速公路没护栏。

不出事的时候，大家都觉得没用；
一旦出事，后悔都来不及。