DevSecOps 安全测试与合规（SAST/DAST、依赖与许可证治理）

DevSecOps 安全测试与合规（SAST/DAST、依赖与许可证治理）概述安全左移将静态/动态测试与依赖/许可证治理纳入流水线，形成自动化守门与审计闭环，降低安全与合规风险。关键实践与参数SAST：静态代码扫描，发现注入/XSS/越权等缺陷；在 PR 阶段运行。DAST：动态黑盒测试，覆盖真实路由与输入；在预发布环境运行。依赖与许可证：SBOM 生成与漏洞匹配；许可证白/黑名单与替换建议。守门：设定失败阈值与阻断规则；审计报告归档与告警。验证方法注入故障样本与基准用例；观察检测命中率。依赖漏洞升级与替换验证；确认兼容与性能。流水线失败与回滚流程演练；审计可追溯。注意事项平衡误报与阻断强度；灰度与豁免流程清晰。对私有与内部包建立漏洞镜像与监控。合规策略与业务节奏对齐，避免交付阻塞。