你是不是也這樣
- 趕進度時,安全永遠是最後才想到的事,上線後才回頭補洞
- 知道有 OWASP、有最佳實踐,但不知道怎麼落到每天的開發流程裡
- 修一個上線後的漏洞,成本是在開發階段擋掉的好幾倍
這堂課面向想把安全做進產品、而不是事後補的開發團隊、工程師與技術主管,由資安講師親授——教你把 AI 變成貼在開發流程裡的安全副手。
它和〈AI 助航企業資安〉互補:那門是站在風險管理的角度「看見、排序、處理」風險;這門是站在開發者的角度,把安全內建進你寫程式的每一步。
上完課,你會帶走什麼
- 一條把安全內建進開發的 SSDLC 流程——從需求到上線,每一關都有安全動作
- 一套 AI 安全審查的提示清單——在 commit/PR 當下就抓出常見漏洞
- 一份安全需求與設計檢核表——讓安全在動手寫之前就被想到
課程大綱
- 安全需求與威脅建模(寫之前先想)——在設計階段就用 AI 把攻擊面攤開,決定這個功能該守哪些
- 安全地寫程式:AI 即時審查——用 AI 在寫程式、開 PR 的當下,對照 OWASP 常見漏洞做審查,當場修
- 相依套件與機密管理——供應鏈風險、別把金鑰寫死,用 AI 協助盤點相依與掃描外洩
- 安全測試自動化——把安全檢查放進 CI,用 AI 幫你看懂掃描結果、排出該先修哪個
- 上線與維運的安全把關——部署前的安全 gate、出事時的基本應變流程
講師背書
講師資安工程師出身,長期投入滲透測試與資安教育:自建多套漏洞演練環境(LFI、Docker 提權、SQL injection 到提權的攻擊鏈),實作威脅建模與 SSDLC。因為親手攻擊過,所以知道開發的哪一行、哪個環節最容易被打——這門課教的不是抽象原則,是攻擊者真正會盯上的地方。
想更深入動手練攻防(自己搭靶機、打通一台機器)?歡迎看〈AI 助航資安實戰〉;想要不掛 AI 框架的完整滲透測試與證照衝刺,到 feifei.tw。
適合誰?不適合誰?
| 說明 | |
|---|---|
| ✅ 適合 | 想把安全做進產品的開發團隊、工程師、技術主管;用 AI 寫程式但擔心安全沒顧好的人 |
| ❌ 不適合 | 完全不寫程式的人(請看 05 Vibe Coding 或 04 企業資安);只想要一份合規文件的人 |
課程版本
| 版本 | 長度 | 適合情境 |
|---|---|---|
| 主題演講 | 1 小時 | 快速建立「把安全內建進開發」的視野 |
| 技術工作坊 | 半天 | 對你們現有的專案,當場跑一輪 AI 安全審查 |
| 團隊內訓 | 1–2 天 | 從需求到上線,把 SSDLC 完整落到你們的開發流程 |
常見問題
我們已經有資安掃描工具了,還需要這堂課嗎?
需要。工具負責「掃」,這堂課負責「把安全做進流程與習慣」——什麼時候該掃、掃出來怎麼判讀與排序、設計階段怎麼先避開。工具是點,SSDLC 是線。
用 AI 審查程式碼,可信嗎?
AI 負責「看得快、抓得廣」,把常見漏洞與可疑寫法即時標出來;最終判斷仍由你拍板。課程會教你怎麼讓 AI 的審查貼合你的技術棧,以及哪些高風險處一定要人工複核。