DevSecOps实战电子书

版权页

作者简介

前言

第1章 DevSecOps的演进与落地思考

1.1 DevOps简介

1.1.1 DevOps发展简史

1.1.2 DevOps理念

1.2 DevSecOps简介

1.2.1 从DevOps到DevSecOps

1.2.2 从SDL到DevSecOps

1.2.3 DevSecOps的指导原则

1.2.4 DevSecOps实践

1.3 互联网行业推动DevSecOps的动机与目标

1.4 金融行业推动DevSecOps的动机与目标

1.5 总结

第2章 DevSecOps的实施解决方案和体系建设

2.1 DevSecOps现状调研

2.1.1 DevSecOps的行业调研

2.1.2 企业现状调研

2.2 流程和方法论：敏捷开发与CI/CD

2.2.1 敏捷开发

2.2.2 持续集成、持续交付和持续部署

2.3 技术：工具与自动化

2.3.1 项目管理工具

2.3.2 源代码管理工具

2.3.3 静态代码扫描工具

2.3.4 静态应用安全测试工具

2.3.5 持续集成工具

2.3.6 构建工具

2.3.7 制品管理工具

2.3.8 第三方安全扫描工具

2.3.9 自动化测试工具

2.3.10 动态安全测试工具

2.3.11 交互式安全测试工具

2.3.12 自动化配置/发布工具

2.3.13 日志分析工具

2.3.14 监控工具

2.3.15 DevSecOps工具链

2.4 文化与组织结构

2.4.1 DevSecOps的文化和挑战

2.4.2 DevSecOps的组织结构和角色

2.5 DevSecOps框架与模型的建立

2.5.1 DevSecOps的运营模型

2.5.2 DevSecOps的实现模型

2.5.3 DevSecOps的成熟度模型

2.6 总结

第3章 DevSecOps转型——从研发入手

3.1 安全意识和能力提升

3.1.1 安全意识

3.1.2 安全能力

3.1.3 隐私合规

3.2 安全编码

3.2.1 默认安全

3.2.2 安全编码规范

3.2.3 安全函数库和安全组件

3.2.4 框架安全

3.3 源代码管理和安全

3.3.1 源代码安全管理

3.3.2 分支策略

3.3.3 代码评审

3.4 持续集成

3.4.1 编译构建和开发环境安全

3.4.2 持续集成流水线

3.4.3 安全能力在流水线上的融入

3.5 代码质量和安全分析

3.5.1 静态代码质量分析

3.5.2 静态应用安全测试

3.5.3 软件成分分析

3.6 制品管理及安全

3.7 总结

第4章 持续测试和安全

4.1 持续测试——DevOps时代的高效测试之钥

4.1.1 测试效率面临着巨大挑战

4.1.2 什么是持续测试

4.1.3 如何实现持续测试

4.2 测试执行提效之自动化测试

4.2.1 分层的自动化测试策略

4.2.2 单元测试

4.2.3 接口测试

4.2.4 UI测试

4.2.5 其他自动化测试

4.3 测试执行提效之精准测试

4.4 测试流程提效：迭代内测试

4.4.1 持续测试带来流程上的变革要求

4.4.2 如何实践迭代内测试

4.5 持续测试下的“左移”和“右移”

4.5.1 测试左移

4.5.2 测试右移

4.5.3 “左移”“右移”不等于“去测试化”

4.6 应用安全测试左移

4.6.1 动态应用安全测试

4.6.2 交互式应用安全测试

4.7 DevSecOps影响着测试的方方面面

4.7.1 测试分类

4.7.2 质量度量

4.7.3 组织架构

4.7.4 团队文化

4.8 总结

第5章 业务与安全需求管理

5.1 业务功能需求管理

5.1.1 需求的收集与筛选

5.1.2 需求的分析

5.1.3 需求排期

5.1.4 需求描述和文档

5.1.5 需求拆分

5.1.6 需求评审

5.1.7 需求状态管理

5.1.8 需求管理工具

5.1.9 临时/紧急需求

5.2 安全需求管理

5.2.1 需求的安全分类

5.2.2 需求的安全评审

5.3 总结

第6章 进一步左移——设计与架构

6.1 为什么需要微服务架构

6.1.1 单体架构的局限性

6.1.2 微服务架构的优势

6.1.3 微服务与DevOps的关系

6.1.4 微服务化的实施路线

6.2 微服务拆分与设计

6.2.1 微服务拆分原则

6.2.2 微服务设计原则

6.2.3 微服务拆分方法

6.3 微服务开发与组合：微服务开发框架

6.3.1 Spring Cloud微服务架构

6.3.2 Service Mesh微服务架构

6.4 微服务改造：单体系统重构

6.4.1 改造策略

6.4.2 微服务改造的关键要素

6.4.3 微服务改造的实施步骤

6.5 安全设计与架构安全

6.5.1 安全风险评估体系的建立

6.5.2 项目的分类定义

6.6 快速检查表的使用

6.7 完整风险评估——威胁建模

6.7.1 识别资产

6.7.2 创建架构设计概览

6.7.3 分析应用系统

6.7.4 识别威胁

6.7.5 记录威胁

6.7.6 威胁评级

6.7.7 威胁建模的工具与自动化

6.8 合规性检查

6.9 总结

第7章 DevSecOps运维和线上运营

7.1 配置和环境管理

7.1.1 基础设施即代码

7.1.2 配置的安全管理原则

7.1.3 安全的计算环境

7.2 发布部署策略

7.3 持续监控和安全

7.3.1 业务和应用层级的持续监控

7.3.2 安全监控

7.3.3 统一监控平台的建立

7.4 日志分析

7.4.1 日志管理的挑战

7.4.2 日志平台建设

7.4.3 日志的安全

7.5 事件响应与业务的连续性

7.5.1 信息安全应急响应机制

7.5.2 业务的连续性

7.6 身份认证和访问控制

7.6.1 身份认证与访问控制的方式及对应问题

7.6.2 统一的身份认证与访问管理

7.7 数据管理和安全

7.7.1 数据本身的安全

7.7.2 数据的安全防护

7.7.3 大数据安全

7.7.4 数据治理与合规

7.8 安全众测

7.9 红蓝对抗

7.10 DevOps平台的安全

7.11 RASP

7.11.1 RASP和WAF

7.11.2 RASP的工作原理和特点

7.11.3 RASP技术面临的挑战

7.12 总结

第8章 DevSecOps度量体系建设

8.1 持续反馈和度量驱动

8.2 度量指标的定义与成熟度模型

8.2.1 度量的指标

8.2.2 成熟度模型

8.3 度量平台的建立、安全管控和可视化

8.4 度量实践常见的问题和误区

8.5 实践中如何正确使用度量

8.6 研发效能度量实践

8.7 总结

第9章 云原生场景下的DevSecOps应用

9.1 云原生带来的新变化

9.1.1 云原生的DevOps新变化

9.1.2 云原生面临的新安全风险

9.1.3 云原生带来的新安全需求

9.2 云原生DevSecOps实施流程

9.2.1 开发阶段的安全

9.2.2 分发阶段的安全

9.2.3 部署阶段的安全

9.2.4 运行时阶段的安全

9.3 云原生DevSecOps相关安全工具

9.3.1 云原生安全开源工具

9.3.2 云原生安全商业产品

9.3.3 云原生DevSecOps实践框架

9.4 云原生DevSecOps的落地应用和演进趋势

9.5 总结

后记

参考文献