DevSecOps 實戰

周紀海

  • 出版商: 機械工業
  • 出版日期: 2022-01-01
  • 定價: $594
  • 售價: 8.5$505
  • 語言: 簡體中文
  • 頁數: 286
  • 裝訂: 平裝
  • ISBN: 7111695658
  • ISBN-13: 9787111695653
  • 相關分類: DevOps
  • 立即出貨 (庫存=1)

買這商品的人也買了...

商品描述

本書作者都是擁有DevSecOps相關工具開發或者落地實踐經驗的資深專家和高級管理者,
卻又來自不同的領域(DevOps和應用安全)。
由於DevSecOps本身是跨越軟件開發、研發效能和應用安全等不同領域的全新方法論,
本書作者群體正好可以從不同角度對DevSecOps的實踐和落地進行全方位覆蓋。
其目標是不僅使來自開發和DevOps背景的讀者了解DevSecOps相關的安全理念和實踐,
也使來自信息安全背景的讀者了解如何進行安全前置,最終將安全意識和能力落地開發團隊。
 全書共9章,書中杜撰的故事講述了兩位發小作為研發效能和安全專家,
在比較有代表性的互聯網和金融企業裡落地DevSecOps的經歷,
通過故事裡實踐DevSecOps的過程中拋出的問題和痛點,
引出各章的相關內容和解決方案,讓讀者更有實際工作場景的代入感。
第1章介紹了DevOps的理念和發展、實踐DevSecOps的理論基礎和指導原則,以及互聯網和金融行業推動DevSecOps的動機和目標;
第2章介紹DevSecOps行業和企業現狀調研,以及DevSecOps體系在流程、技術和文化層面的建設和實現;
第3章詳細介紹了軟件開發階段DevSecOps通過安全左移帶來的開發人員安全意識和能力提升、安全編碼、
代碼質量及如何通過持續集成流水線實現安全掃描自動化等內容;
第4章集中介紹持續測試對提高測試效能、實現自動化測試的重要性,
以及安全左移和右移對測試階段的影響;
第5章介紹如何進行業務需求管理以及需求的安全管理;
第6章介紹了微服務架構的拆分和設計原則、微服務改造和開發框架,
以及架構安全檢查和評估的不同實現模式;
第7章介紹了運維和線上運營階段DevSecOps包含的各個方面的內容;
第8章重點介紹了DevSecOps度量體系和平台建設,
以及對於如何使用好度量的建議;
第9章重點討論DevSecOps在雲原生場景下的應用。

目錄大綱


前言
第1章 DevSecOps的演進與落地思考1
1.1 DevOps簡介4
1.1.1 DevOps發展簡史5
1.1.2 DevOps理念6
1.2 DevSecOps簡介7
1.2.1 從DevOps到DevSecOps7
1.2.2 從SDL到DevSecOps11
1.2.3 DevSecOps的指導原則14
1.2.4 DevSecOps實踐17
1.3 互聯網行業推動DevSecOps的動機與目標 21
1.4 金融行業推動DevSecOps的動機與目標 22
1.5 總結23
第2章 DevSecOps的實施解決方案和體系建設24
2.1 DevSecOps現狀調研26
2.1.1 DevSecOps的行業調研26
2.1.2 企業現狀調研29
2.2 流程和方法論:敏捷開發與CI/CD34
2.2.1 敏捷開發34
2.2.2 持續集成、持續交付和持續部署40
2.3 技術:工具與自動化41
2.3.1 項目管理工具41
2.3.2 源代碼管理工具42
2.3.3 靜態代碼掃描工具42
2.3.4 靜態應用安全測試工具43
2.3.5 持續集成工具44
2.3.6 構建工具44
2.3.7 製品管理工具45
2.3.8 第三方安全掃描工具45
2.3.9 自動化測試工具45
2.3.10 動態安全測試工具46
2.3.11 交互式安全測試工具46
2.3.12 自動化配置/發布工具46
2.3.13 日誌分析工具47
2.3.14 監控工具47
2.3.15 DevSecOps工具鏈48
2.4 文化與組織結構50
2.4.1 DevSecOps的文化和挑戰50
2.4.2 DevSecOps的組織結構和角色50
2.5 DevSecOps框架與模型的建立52
2.5.1 DevSecOps的運營模型 52
2.5.2 DevSecOps的實現模型54
2.5.3 DevSecOps的成熟度模型54
2.6 總結56
第3章 DevSecOps轉型—從研發入手57
3.1 安全意識和能力提升60
3.1.1 安全意識61
3.1.2 安全能力61
3.1.3 隱私合規63
3.2 安全編碼64
3.2.1 默認安全64
3.2.2 安全編碼規範64
3.2.3 安全函數庫和安全組件65
3.2.4 框架安全65
3.3 源代碼管理和安全66
3.3.1 源代碼安全管理67
3.3.2 分支策略67
3.3.3 代碼評審74
3.4 持續集成75
3.4.1 編譯構建和開發環境安全76
3.4.2 持續集成流水線76
3.4.3 安全能力在流水線上的融入78
3.5 代碼質量和安全分析79
3.5.1 靜態代碼質量分析79
3.5.2 靜態應用安全測試81
3.5.3 軟件成分分析83
3.6 製品管理及安全85
3.7 總結87
第4章 持續測試和安全88
4.1 持續測試—DevOps時代的高效測試之鑰90
4.1.1 測試效率面臨著巨大挑戰91
4.1.2 什麼是持續測試92
4.1.3 如何實現持續測試92
4.2 測試執行提效之自動化測試93
4.2.1 分層的自動化測試策略93
4.2.2 單元測試95
4.2.3 接口測試98
4.2.4 UI測試100
4.2.5 其他自動化測試101
4.3 測試執行提效之精準測試101
4.4 測試流程提效:迭代內測試102
4.4.1 持續測試帶來流程上的變革要求102
4.4.2 如何實踐迭代內測試103
4.5 持續測試下的“左移”和“右移”104
4.5.1 測試左移104
4.5.2 測試右移106
4.5.3 “左移”“右移”不等於“去測試化”107
4.6 應用安全測試左移108
4.6.1 動態應用安全測試108
4.6.2 交互式應用安全測試112
4.7 DevSecOps影響著測試的方方面面116
4.7.1 測試分類116
4.7.2 質量度量118
4.7.3 組織架構120
4.7.4 團隊文化121
4.8 總結122
第5章 業務與安全需求管理123
5.1 業務功能需求管理125
5.1.1 需求的收集與篩選126
5.1.2 需求的分析127
5.1.3 需求排期130
5.1.4 需求描述和文檔130
5.1.5 需求拆分132
5.1.6 需求評審132
5.1.7 需求狀態管理133
5.1.8 需求管理工具134
5.1.9 臨時/緊急需求134
5.2 安全需求管理135
5.2.1 需求的安全分類136
5.2.2 需求的安全評審138
5.3 總結143
第6章 進一步左移—設計與架構144
6.1 為什麼需要微服務架構147
6.1.1 單體架構的局限性148
6.1.2 微服務架構的優勢149
6.1.3 微服務與DevOps的關係149
6.1.4 微服務化的實施路線151
6.2 微服務拆分與設計151
6.2.1 微服務拆分原則151
6.2.2 微服務設計原則152
6.2.3 微服務拆分方法152
6.3 微服務開發與組合:微服務開發框架154
6.3.1 Spring Cloud微服務架構154
6.3.2 Service Mesh微服務架構157
6.4 微服務改造:單體系統重構160
6.4.1 改造策略160
6.4.2 微服務改造的關鍵要素161
6.4.3 微服務改造的實施步驟161
6.5 安全設計與架構安全162
6.5.1 安全風險評估體系的建立162
6.5.2 項目的分類定義164
6.6 快速檢查表的使用166
6.7 完整風險評估—威脅建模169
6.7.1 識別資產170
6.7.2 創建架構設計概覽171
6.7.3 分析應用系統171
6.7.4 識別威脅172
6.7.5 記錄威脅175