DevSecOps 的关键实践有哪些？如何将安全左移？

DevSecOps 是将安全内嵌到 DevOps 全流程的实践，核心理念是"安全左移"——在编码阶段而非上线后才做安全检查。关键实践包括：在 CI 流水线中集成 SAST（静态代码扫描）和 SCA（依赖漏洞扫描），构建阶段做容器镜像扫描（Trivy），部署前用 DAST 对运行时做动态测试，运行时通过 Falco 做入侵检测。此外还包括用 Vault 管理密钥与凭证轮换、RBAC 最小权限控制、基础设施即代码的安全扫描（tfsec），以及用 SLSA 框架保障软件供应链完整性。本质是把安全从"门卫"变成"内嵌检查点"。

追问

• SAST 和 DAST 分别能发现什么类型的漏洞？为什么两者必须互补？
• 容器镜像扫描应该扫基础镜像还是应用层？Trivy 的工作原理是什么？
• HashiCorp Vault 如何实现密钥自动轮换而不中断服务？
• SLSA 框架的四个级别分别保证什么？达到 Level 3 需要哪些前提？
• 如何处理安全扫描的大量误报而不拖慢 CI 流水线？

写段代码

yaml
# CI 流水线内嵌安全扫描
stages:
  - security
  - test
sast:
  stage: security
  script: semgrep ci --config auto
dep-scan:
  stage: security
  script: snyk test --severity-threshold=high
container-scan:
  stage: test
  script:
    - docker build -t app:$CI_SHA .
    - trivy image --exit-code 1 app:$CI_SHA