COSCUP 2026 - Conference for Open Source Coders, Users, and Promoters

David Su


David Su 現職資安工程師,專注於 DevSecOps 架構設計、SSDLC 流程建置與資安合規實踐,致力於將資安融入企業的開發流程與組織文化。曾任資安顧問,累積滲透測試、GRC 審計與雲端資安等多元實務經驗。自 2018 年起持續深耕 HITCON 社群,參與活動組,長期投入資安社群活動規劃與技術交流推動。


David Su is a Security Engineer focused on DevSecOps architecture, SSDLC implementation, and security compliance — dedicated to embedding security into enterprise development workflows and organizational culture. He previously worked as a security consultant, building hands-on experience across penetration testing, GRC auditing, and cloud security. Since 2018, he has been an active member of the HITCON community, contributing to the Events team and driving technical exchange within the security community.


Beitrag

08.08
10:00
40min
讓漏洞自己結案:純開源工具鏈打造 DevSecOps 閉環實戰
David Su

掃描工具裝了、CI/CD 跑了,漏洞清單每天在長,但誰在追蹤?誰在修?修完了誰來確認?光有掃描工具不夠,挑戰在「掃完之後」:碎片化報告沒人聚合、供應鏈黑箱、沒有閉環。

本場分享一套全程基於開源工具的 DevSecOps 閉環架構,涵蓋完整 SSDLC:以 OWASP Threat Dragon 進行威脅建模、OpenGrep 做 SAST、Trivy 產出 SBOM,搭配 DefectDojo 與 Dependency-Track 進行漏洞聚合與供應鏈監控,並自動開單至 Jira、GitHub 等平台,讓工程團隊在熟悉的介面處理資安問題。未來更可搭配 AI(如 Claude Code MCP)進行自動修補,讓閉環更進一步。

除了介紹工具能做什麼,更會分享每個工具的真實限制,以及落地的三道高牆:開發團隊的抵制、SLA 永遠修不完的焦慮、跨部門推動阻力,以及如何用架構設計化解。

漏洞從被掃出來,到自動開單、PR merge 後自動結案,RD 不需登入任何資安平台。SBOM 自動產出更讓 CRA 合規成為 B2B 競爭優勢。這是我們在實際專案中真實走過的一遍,所有工具均採用 OSI 認可授權。

Hackers In Taiwan
TR313