當牆倒了,我如何能在三分鐘內發現並止血?
Vibe Coding,又稱「氛圍編碼」,讓完全不懂寫程式的人也能輕鬆設計出軟體、架網站、畫圖。簡單來說,Vibe Coding 就是請 AI 當你的程式設計小助手,讓它來幫你搞定程式碼,你只要提供概念,寫程式碼實現的部分 AI 會搞定。
DevOpsSec這個字,是開發、營運、安全人員團隊的縮寫,開發人員注重滿足客戶要的功能,營運人員要高可用性不客訴,而安全人員則希望程式能有機密性、完整性、可用性兼具。
讀者會問,AI 在訓練的過程中,大量的讀過很多程式設計師寫的程式碼,因此我給 AI 下指令後,他就能從「最佳實務」中產生符合我的概念的程式碼,我出概念,AI 負責用厲害的程式來滿足我和客戶的需求。
這本書不是定位在給專業資深程式設計師「肉眼」除錯用的,無論是 ISO27001:2022 的控制項目實作、OWASP Top10:2025 的常見資安弱點,無一倖免地都能把你的 AI 搞瘋,寫出連它自己都不相信的程式碼,然後再把資深程式設計師也搞瘋。更別談 AI 會記憶,不同人下相同的指令,寫出來的程式碼會有很大的機會內容不同。
所以,本書定位是寫給非資訊人員,有概念、會下基本指令的小小 AI 咏唱師,以提示語來和 AI 做互動。我們只改一個小概念,就是「資安左移」,需求、威脅建構、實作、測試、上線、功能修補,越右邊的時候考慮資安,就越會把 AI 搞瘋,所以在最左方的「需求」描述的提示語,我們就要在本書中探討如何下提示語。並且有耐心的等候免費AI工具生成程式碼的行數或時間限制,用同一個 AI 來寫作,不要切換。
置於九地之下,始有九天之生,在本書中,我們也會有「一個人的紅隊」,讓讀者練習用 Kali Linux(知名滲透測試工具),來練習攻擊「資安左移」後的程式碼,然後用「資深程式設計師視角」,透過 Visual Studio Code 結合 Gemini 的方式來讓「資安左移」時沒處理好的程式碼,有進一步透過 OWASP Top 10:2025 的常見資安弱點做為藍圖來練習補正程式碼。
所以本書給初心者小小咏唱師的部分,和給資深程式設計大牛,是給不一樣的建議和路徑的,請各自取用適合的章節並享受這個 AI 大爆發的時代。還是那句話,AI 不會取代人,但 AI 會取代不和 AI 協作的人。
在本書撰寫到一半篇幅時,XAMPP 這個一直被倚重的程式的資料庫 mysql 崩潰了,筆者需要一個競品,免費版的 GitHub Copilot 也會有程式行數的限制:需要回到前面的假設─太複雜的資安要求,會讓系統崩潰。所以我們需要的不是一個「Top 10 大全或 ISO27001 控制項大全」,而是假設失效(Assume Breach)我們不再奢望牆永遠不倒,而是思考「當牆倒了,我如何能在三分鐘內發現並止血?」。我們開設了線上表單供讀者將所遇到的問題截圖上傳來詢問。
✚ Google 表單網址
https://forms.gle/BDtHzVmeDDeRiuR99
✚ 本書簡介影片
https://youtu.be/ayBzDdRrxfQ
Vibe Coding,又稱「氛圍編碼」,讓完全不懂寫程式的人也能輕鬆設計出軟體、架網站、畫圖。簡單來說,Vibe Coding 就是請 AI 當你的程式設計小助手,讓它來幫你搞定程式碼,你只要提供概念,寫程式碼實現的部分 AI 會搞定。
DevOpsSec這個字,是開發、營運、安全人員團隊的縮寫,開發人員注重滿足客戶要的功能,營運人員要高可用性不客訴,而安全人員則希望程式能有機密性、完整性、可用性兼具。
讀者會問,AI 在訓練的過程中,大量的讀過很多程式設計師寫的程式碼,因此我給 AI 下指令後,他就能從「最佳實務」中產生符合我的概念的程式碼,我出概念,AI 負責用厲害的程式來滿足我和客戶的需求。
這本書不是定位在給專業資深程式設計師「肉眼」除錯用的,無論是 ISO27001:2022 的控制項目實作、OWASP Top10:2025 的常見資安弱點,無一倖免地都能把你的 AI 搞瘋,寫出連它自己都不相信的程式碼,然後再把資深程式設計師也搞瘋。更別談 AI 會記憶,不同人下相同的指令,寫出來的程式碼會有很大的機會內容不同。
所以,本書定位是寫給非資訊人員,有概念、會下基本指令的小小 AI 咏唱師,以提示語來和 AI 做互動。我們只改一個小概念,就是「資安左移」,需求、威脅建構、實作、測試、上線、功能修補,越右邊的時候考慮資安,就越會把 AI 搞瘋,所以在最左方的「需求」描述的提示語,我們就要在本書中探討如何下提示語。並且有耐心的等候免費AI工具生成程式碼的行數或時間限制,用同一個 AI 來寫作,不要切換。
置於九地之下,始有九天之生,在本書中,我們也會有「一個人的紅隊」,讓讀者練習用 Kali Linux(知名滲透測試工具),來練習攻擊「資安左移」後的程式碼,然後用「資深程式設計師視角」,透過 Visual Studio Code 結合 Gemini 的方式來讓「資安左移」時沒處理好的程式碼,有進一步透過 OWASP Top 10:2025 的常見資安弱點做為藍圖來練習補正程式碼。
所以本書給初心者小小咏唱師的部分,和給資深程式設計大牛,是給不一樣的建議和路徑的,請各自取用適合的章節並享受這個 AI 大爆發的時代。還是那句話,AI 不會取代人,但 AI 會取代不和 AI 協作的人。
在本書撰寫到一半篇幅時,XAMPP 這個一直被倚重的程式的資料庫 mysql 崩潰了,筆者需要一個競品,免費版的 GitHub Copilot 也會有程式行數的限制:需要回到前面的假設─太複雜的資安要求,會讓系統崩潰。所以我們需要的不是一個「Top 10 大全或 ISO27001 控制項大全」,而是假設失效(Assume Breach)我們不再奢望牆永遠不倒,而是思考「當牆倒了,我如何能在三分鐘內發現並止血?」。我們開設了線上表單供讀者將所遇到的問題截圖上傳來詢問。
✚ Google 表單網址
https://forms.gle/BDtHzVmeDDeRiuR99
✚ 本書簡介影片
https://youtu.be/ayBzDdRrxfQ
