主要观点：随着开发周期加快，将安全融入 CI/CD 管道至关重要，可早期预防漏洞进入生产。文章深入探讨技术细节、代码示例和配置以构建稳健安全的 CI/CD 管道。

关键信息：

• CI/CD 管道是自动化工作流，包括持续集成（CI）和持续交付/部署（CD）。
• 安全集成早期可检测漏洞、符合法规标准、保持开发速度。
• 安全阶段包括源代码分析和静态应用安全测试（SAST）、依赖和库扫描、容器安全扫描、基础设施即代码（IaC）扫描、动态应用安全测试（DAST）、秘密管理。
• 给出各阶段的工具及 Groovy 代码示例，如 SonarQube、OWASP Dependency-Check、Trivy、Checkov、OWASP ZAP 等。

重要细节：

• CI 阶段开发者频繁合并代码变更并触发自动化构建和测试。
• CD 阶段在持续交付中部署需手动批准，连续部署自动推送至生产。
• 静态分析工具可分析源代码漏洞等，如 SonarQube 报告并强制执行质量门。
• 依赖扫描工具可扫描项目依赖的漏洞。
• 容器安全扫描工具如 Trivy 检查容器图像漏洞。
• IaC 扫描工具 Checkov 确保基础设施代码符合安全最佳实践。
• DAST 工具模拟攻击运行应用找漏洞。
• 避免在代码中硬编码秘密，使用 CI/CD 环境变量或外部秘密管理工具。

结论：将稳健安全检查融入 CI/CD 管道是持续多层过程，通过 Groovy 在 Jenkins Pipeline 中嵌入多种安全措施可降低漏洞风险，安全威胁演变时需持续更新流程和工具以保持强安全态势。