Open a pull request

[3MethNi]

Why:

Closes:

What's being changed (if available, include any code snippets, screenshots, or gifs):

Check off the following:

• A subject matter expert (SME) has reviewed the technical accuracy of the content in this PR. In most cases, the author can be the SME. Open source contributions may require an SME review from GitHub staff.
• The changes in this PR meet the docs fundamentals that are required for all content.
• All CI checks are passing and the changes look good in the review environment.

Upgraded V2 : VVIP Audit - CI/CD & Automated Security Certification

on:
push:
branches: [ main ]
pull_request:
branches: [ main ]

env:

กำหนดค่ากลางสำหรับทุกคลาวด์

GCP_PROJECT_ID: your-gcp-project-id
AWS_REGION: ap-southeast-1
AZURE_APP_NAME: vvip-audit-app
IMAGE_NAME: vvip-audit # ชื่อ Image กลาง

jobs:

--- Job 1: ตรวจสอบคุณภาพโค้ดพื้นฐาน ---

lint:
name: Lint Code
runs-on: ubuntu-latest
steps:
- name: Checkout code
uses: actions/checkout@v4
- name: Set up Node.js
uses: actions/setup-node@v4
with:
node-version: '20'
cache: 'npm'
- name: Install dependencies
run: npm ci
- name: Lint code
run: npm run lint

--- Job 2: ประตูรักษาความปลอดภัยและออกใบรับรองอัตโนมัติ ---

security-audit:
name: Automated Security Certification
needs: lint
runs-on: ubuntu-latest
permissions:
actions: read
contents: read
security-events: write
steps:
- name: Checkout code
uses: actions/checkout@v4

  - name: Run CodeQL Analysis (SAST)
    uses: github/codeql-action/analyze@v3
    with:
      language: 'javascript'

  - name: Run Snyk to check for vulnerabilities (SCA)
    uses: snyk/actions/node@master
    continue-on-error: true # ตั้งเป็น true เพื่อให้เห็นรายงาน แต่ไม่หยุด pipeline ทันที (ปรับเปลี่ยนได้)
    env:
      SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
    with:
      command: 'monitor'

  - name: Run TruffleHog to find secrets
    uses: trufflesecurity/trufflehog@main
    with:
      path:./
      base: ${{ github.event.before }}
      head: HEAD
      extra_args: --only-verified

--- Job 3: สร้างและสแกน Docker Image ---

build-and-push:
name: Build, Scan, and Push Docker Image
needs: security-audit
runs-on: ubuntu-latest
permissions:
contents: read
packages: write
id-token: write
steps:
- name: Checkout code
uses: actions/checkout@v4

  - name: Set up Docker Buildx
    uses: docker/setup-buildx-action@v3

  - name: Build Docker image
    id: docker_build
    uses: docker/build-push-action@v5
    with:
      context:.
      push: false # ยังไม่ push
      load: true # โหลด image เข้าสู่ runner เพื่อสแกน
      tags: ${{ env.IMAGE_NAME }}:${{ github.sha }}

  - name: Scan image for vulnerabilities with Trivy
    uses: aquasecurity/trivy-action@master
    with:
      image-ref: '${{ env.IMAGE_NAME }}:${{ github.sha }}'
      format: 'table'
      exit-code: '1' # ทำให้ pipeline fail หากพบช่องโหว่ระดับ CRITICAL
      ignore-unfixed: true
      vuln-type: 'os,library'
      severity: 'CRITICAL,HIGH'

  # (ส่วนของการ Login และ Push ไปยัง Registries ต่างๆ จะอยู่ตรงนี้)
  #... (นำโค้ดจากเวอร์ชันก่อนหน้ามาใส่)...
  # หลังจากสแกนผ่านแล้วจึงทำการ Push

--- Job 4: ปรับใช้ (Upload) สู่คลาวด์ ---

deploy:
name: Deploy to Cloud
needs: build-and-push
if: github.ref == 'refs/heads/main' && github.event_name == 'push'
#... (ส่วนที่เหลือของ Job deploy เหมือนเดิม)...

git init
git add .
git commit -m "Initial VVIP Security Audit Project"
git remote add origin https://github.com/USERNAME/REPO.git
git branch -M main
git push -u origin main