CAST — DevSecOps 标准，规模化覆盖每个团队

你能获得什么

完整的安全技术栈。开箱即用。

每套 CAST 模板并行运行 5 个安全 Job，最后由策略即代码门禁决定 PR 能否合并。

🔑

秘密检测

由 Gitleaks 驱动

扫描完整 git 历史中泄露的凭据、API 密钥和令牌——不仅限于最新提交。

🔍

SAST 静态分析

由 Semgrep 驱动

使用 1,000+ 开源规则检测源码中的安全漏洞和反模式，并将 SARIF 上传至 GitHub Security。

📦

SCA 依赖审计

pip-audit · npm audit · govulncheck

检测依赖项中的已知 CVE，自动选择适合当前技术栈的工具。

🐳

容器安全

由 Trivy 驱动

扫描 Docker 镜像的操作系统和依赖库 CVE。若无 Dockerfile 则自动跳过。

✏️

代码质量

Ruff · ESLint · staticcheck

强制执行代码风格与质量标准。默认为信息模式，不阻断合并。

🚦

安全门禁

由 conftest + OPA Rego 驱动

根据版本化策略评估所有 SARIF 发现。发现严重漏洞时阻断合并。策略文件存放于你的仓库。

工作原理

从零到生产级流水线，五分钟以内。

安装 CLI

一条 pip install 命令。支持 Python 3.9+。无需任何外部账号或 API 令牌。

pip install castops

执行 cast init

CAST 自动检测你的技术栈和 CI 平台，将工作流文件写入正确位置。

cast init

推送代码

每次推送和 Pull Request 都将触发完整安全流水线。发现高危漏洞时阻断不安全的合并。

git push

模板矩阵

每种技术栈。两个平台。

所有模板均包含完整的 6 层安全技术栈，并在每次 CAST 发版时进行测试。

技术栈	SCA 工具	质量工具	GitHub Actions	GitLab CI
🐍 Python pyproject.toml · requirements.txt · setup.py	pip-audit	Ruff	✓	✓
⬡ Node.js package.json	npm audit	ESLint	✓	✓
🐹 Go go.mod	govulncheck	staticcheck	✓	✓

可扩展

接入你自己的工具。

CAST 的门禁使用 SARIF——通用安全发现格式。任何输出 SARIF 的工具都能自动接入流水线。无需 fork，无需重写。

用 Snyk 替换 pip-audit。在 Semgrep 旁边加上 Bandit。接入你们内部的合规扫描器。门禁会统一评估所有结果。

插件指南 →

custom-snyk.yml — 与 CAST 工作流并列放置

jobs:
  snyk:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - run: snyk test --sarif-file-output=snyk.sarif
        env:
          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
      - uses: actions/upload-artifact@v4
        with:
          # CAST 门禁自动收集所有 cast-sarif-* artifact
          name: cast-sarif-snyk
          path: snyk.sarif

一个工程师的标准，覆盖每个团队的流水线。

完整的安全技术栈。开箱即用。

从零到生产级流水线，五分钟以内。

每种技术栈。两个平台。

接入你自己的工具。

从今天开始，交付安全的代码。