预购商品
书目分类
特别推荐
本書通過描述一家大型互聯網企業和一家大型傳統銀行的DevSecOps轉型的過程,幫助讀者淺顯易懂並且有代入感地瞭解如何將DevSecOps在企業內部落地和實踐。 基於各類行業特點的DevSecOps實施與落地方法,是本書的主要技術要點。
第1章DevSecOps的演進與落地思考1 1.1DevOps簡介4 1.1.1DevOps發展簡史5 1.1.2DevOps理念6 1.2DevSecOps簡介7 1.2.1從DevOps到DevSecOps7 1.2.2從SDL到DevSecOps11 1.2.3DevSecOps的指導原則14 1.2.4DevSecOps實踐17 1.3互聯網行業推動DevSecOps的動機與目標 21 1.4金融行業推動DevSecOps的動機與目標 22 1.5總結23 第2章DevSecOps的實施解決方案和體系建設24 2.1DevSecOps現狀調研26 2.1.1DevSecOps的行業調研26 2.1.2企業現狀調研29 2.2流程和方法論:敏捷開發與CI/CD34 2.2.1敏捷開發34 2.2.2持續集成、持續交付和持續部署40 2.3技術:工具與自動化41 2.3.1專案管理工具41 2.3.2原始程式碼管理工具42 2.3.3靜態代碼掃描工具42 2.3.4靜態應用安全測試工具43 2.3.5持續集成工具44 2.3.6構建工具44 2.3.7製品管理工具45 2.3.8協力廠商安全掃描工具45 2.3.9自動化測試工具45 2.3.10動態安全測試工具46 2.3.11互動式安全測試工具46 2.3.12自動化配置/發佈工具46 2.3.13日誌分析工具47 2.3.14監控工具47 2.3.15DevSecOps工具鏈48 2.4文化與組織結構50 2.4.1DevSecOps的文化和挑戰50 2.4.2DevSecOps的組織結構和角色50 2.5DevSecOps框架與模型的建立52 2.5.1DevSecOps的運營模型 52 2.5.2DevSecOps的實現模型54 2.5.3DevSecOps的成熟度模型54 2.6總結56 第3章DevSecOps轉型—從研發入手57 3.1安全意識和能力提升60 3.1.1安全意識61 3.1.2安全能力61 3.1.3隱私合規63 3.2安全編碼64 3.2.1默認安全64 3.2.2安全編碼規範64 3.2.3安全函式程式庫和安全性群組件65 3.2.4框架安全65 3.3原始程式碼管理和安全66 3.3.1原始程式碼安全管理67 3.3.2分支策略67 3.3.3代碼評審74 3.4持續集成75 3.4.1編譯構建和開發環境安全76 3.4.2持續集成流水線76 3.4.3安全能力在流水線上的融入78 3.5代碼品質和安全分析79 3.5.1靜態代碼品質分析79 3.5.2靜態應用安全測試81 3.5.3軟體成分分析83 3.6製品管理及安全85 3.7總結87 第4章持續測試和安全88 4.1持續測試—DevOps時代的高效測試之鑰90 4.1.1測試效率面臨著巨大挑戰91 4.1.2什麼是持續測試92 4.1.3如何實現持續測試92 4.2測試執行提效之自動化測試93 4.2.1分層的自動化測試策略93 4.2.2單元測試95 4.2.3介面測試98 4.2.4UI測試100 4.2.5其他自動化測試101 4.3測試執行提效之精准測試101 4.4測試流程提效:反覆運算內測試102 4.4.1持續測試帶來流程上的變革要求102 4.4.2如何實踐反覆運算內測試103 4.5持續測試下的“左移”和“右移”104 4.5.1測試左移104 4.5.2測試右移106 4.5.3“左移”“右移”不等於“去測試化”107 4.6應用安全測試左移108 4.6.1動態應用安全測試108 4.6.2互動式應用安全測試112 4.7DevSecOps影響著測試的方方面面116 4.7.1測試分類116 4.7.2品質度量118 4.7.3組織架構120 4.7.4團隊文化121 4.8總結122 第5章業務與安全需求管理123 5.1業務功能需求管理125 5.1.1需求的收集與篩選126 5.1.2需求的分析127 5.1.3需求排期130 5.1.4需求描述和文檔130 5.1.5需求拆分132 5.1.6需求評審132 5.1.7需求狀態管理133 5.1.8需求管理工具134 5.1.9臨時/緊急需求134 5.2安全需求管理135 5.2.1需求的安全分類136 5.2.2需求的安全評審138 5.3總結143 第6章進一步左移—設計與架構144 6.1為什麼需要微服務架構147 6.1.1單體架構的局限性148 6.1.2微服務架構的優勢149 6.1.3微服務與DevOps的關係149 6.1.4微服務化的實施路線151 6.2微服務拆分與設計151 6.2.1微服務拆分原則151 6.2.2微服務設計原則152 6.2.3微服務拆分方法152 6.3微服務開發與組合:微服務開發框架154 6.3.1Spring Cloud微服務架構154 6.3.2Service Mesh微服務架構157 6.4微服務改造:單體系統重構160 6.4.1改造策略160 6.4.2微服務改造的關鍵要素161 6.4.3微服務改造的實施步驟161 6.5安全設計與架構安全162 6.5.1安全風險評估體系的建立162 6.5.2專案的分類定義164 6.6快速檢查表的使用166 6.7完整風險評估—威脅建模169 6.7.1識別資產170 6.7.2創建架構設計概覽171 6.7.3分析應用系統171 6.7.4識別威脅172 6.7.5記錄威脅175 6.7.6威脅評級176 6.7.7威脅建模的工具與自動化180 6.8合規性檢查184 6.9總結186 第7章DevSecOps運維和線上運營187 7.1配置和環境管理189 7.1.1基礎設施即代碼190& 7.1.2配置的安全管理原則191 7.1.3安全的計算環境192 7.2發佈部署策略193 7.3持續監控和安全195 7.3.1業務和應用層級的持續監控196 7.3.2安全監控197 7.3.3統一監控平臺的建立198 7.4日誌分析198 7.4.1日誌管理的挑戰199 7.4.2日誌平臺建設199 7.4.3日誌的安全200 7.5事件回應與業務的連續性202 7.5.1資訊安全應急回應機制202 7.5.2業務的連續性206 7.6身份認證和存取控制208 7.6.1身份認證與存取控制的方式及對應問題208 7.6.2統一的身份認證與訪問管理214 7.7資料管理和安全216 7.7.1資料本身的安全216 7.7.2資料的安全防護218 7.7.3大資料安全220 7.7.4資料治理與合規222 7.8安全眾測225 7.9紅藍對抗227 7.10DevOps平臺的安全229 7.11RASP230 7.11.1RASP和WAF231 7.11.2RASP的工作原理和特點232 7.11.3RASP技術面臨的挑戰233 7.12總結234 第8章DevSecOps度量體系建設236 8.1持續回饋和度量驅動238 8.2度量指標的定義與成熟度模型240 8.2.1度量的指標241 8.2.2成熟度模型245 8.3度量平臺的建立、安全管控和視覺化248 8.4度量實踐常見的問題和誤區250 8.5實踐中如何正確使用度量251 8.6研發效能度量實踐254 8.7總結257 第9章雲原生場景下的DevSecOps應用258 9.1雲原生帶來的新變化260 9.1.1雲原生的DevOps新變化260 9.1.2雲原生面臨的新安全風險262 9.1.3雲原生帶來的新安全需求265 9.2雲原生DevSecOps實施流程266 9.2.1開發階段的安全266 9.2.2分發階段的安全267 9.2.3部署階段的安全270 9.2.4運行時階段的安全271 9.3雲原生DevSecOps相關安全工具274 9.3.1雲原生安全開源工具274 9.3.2雲原生安全商業產品276 9.3.3雲原生DevSecOps實踐框架277 9.4雲原生DevSecOps的落地應用和演進趨勢278 9.5總結281 後記282 參考文獻285
客服公告
热门活动
订阅电子报
.jpg)
![13.04.2025 平和歸零,從心開始:禪繞與零極限分享會 [第24場]_Side Banner](images/禪繞與零極限分享會-第24場-Side.jpg)
