BEGIN:VCALENDAR
VERSION:2.0
PRODID:-//pretalx//pretalx.coscup.org//coscup-2026//talk//A3GRQD
BEGIN:VTIMEZONE
TZID:CST
BEGIN:STANDARD
DTSTART:20000101T000000
RRULE:FREQ=YEARLY;BYMONTH=1
TZNAME:CST
TZOFFSETFROM:+0800
TZOFFSETTO:+0800
END:STANDARD
END:VTIMEZONE
BEGIN:VEVENT
UID:pretalx-coscup-2026-A3GRQD@pretalx.coscup.org
DTSTART;TZID=CST:20260808T100000
DTEND;TZID=CST:20260808T104000
DESCRIPTION:掃描工具裝了、CI/CD 跑了，漏洞清單每天在長，
 但誰在追蹤？誰在修？修完了誰來確認？光有掃描工具
 不夠，挑戰在「掃完之後」：碎片化報告沒人聚合、供
 應鏈黑箱、沒有閉環。\n\n本場分享一套全程基於開源工
 具的 DevSecOps 閉環架構，涵蓋完整 SSDLC：以 OWASP Threat Drag
 on 進行威脅建模、OpenGrep 做 SAST、Trivy 產出 SBOM，搭配 Def
 ectDojo 與 Dependency-Track 進行漏洞聚合與供應鏈監控，並自
 動開單至 Jira、GitHub 等平台，讓工程團隊在熟悉的介面
 處理資安問題。未來更可搭配 AI（如 Claude Code MCP）進行
 自動修補，讓閉環更進一步。\n\n除了介紹工具能做什麼
 ，更會分享每個工具的真實限制，以及落地的三道高牆
 ：開發團隊的抵制、SLA 永遠修不完的焦慮、跨部門推動
 阻力，以及如何用架構設計化解。\n\n漏洞從被掃出來，
 到自動開單、PR merge 後自動結案，RD 不需登入任何資安
 平台。SBOM 自動產出更讓 CRA 合規成為 B2B 競爭優勢。這
 是我們在實際專案中真實走過的一遍，所有工具均採用 O
 SI 認可授權。
DTSTAMP:20260713T142444Z
LOCATION:TR313
SUMMARY:讓漏洞自己結案：純開源工具鏈打造 DevSecOps 閉環實戰 - David Su
URL:https://pretalx.coscup.org/coscup-2026/talk/A3GRQD/
END:VEVENT
END:VCALENDAR
