DevSecOps原理、核心技术与实战

参考文献

12.4 小结

12.3.4 运营管理难点与策略

12.3.3 隐私合规管理工作流程

12.3.2 关键安全卡点设置

12.3.1 集成概览

12.3 与DevSecOps流水线集成

12.2.5 存储行为检测

12.2.4 传输行为检测

12.2.3 应用行为检测

12.2.2 基本信息检测

12.2.1 检测逻辑剖析

12.2 移动App隐私合规检测

12.1.3 移动App生命周期

12.1.2 相关政策和法律法规

12.1.1 移动App个人信息保护历程

12.1 移动App合规需求来源

第12章 移动App与合规治理

11.4 小结

11.3.3 实战型组织的安全运营

11.3.2 对抗型组织的安全运营

11.3.1 防守型组织的安全运营

11.3 不同组织类型的安全运营

11.2.3 使用Chef Automate实现混合云基础设施安全自动化

11.2.2 使用Ansible Automation实现私有云基础设施安全自动化

11.2.1 基础设施安全自动化工具简介

11.2 集成基础设施安全工具链

11.1.3 保障IaC自身安全

11.1.2 遵循基础设施安全最佳实践

11.1.1 通过配置管理消减基础设施风险

11.1 基础设施即代码（IaC）

第11章 基础设施与安全运营

10.4 小结

10.3.2 Kube-Bench与流水线集成

10.3.1 Trivy与流水线集成

10.3 融入DevSecOps黄金管道

10.2.2 K8s基线检测工具

10.2.1 Trivy容器镜像扫描工具

10.2 集成容器安全工具链

10.1.3 镜像制作与镜像仓库

10.1.2 安全基线和镜像的维护

10.1.1 安全基线的选择

10.1 定义基线加固和安全镜像

第10章 基线加固与容器安全

9.4 小结

9.3.2 安全漏洞收敛与度量

9.3.1 持续集成中安全工具的整合

9.3 整合安全工具与漏洞运营

9.2.3 Nessus流水线集成与使用

9.2.2 OWASP ZAP流水线集成与使用

9.2.1 动态安全检测工具集成特点

9.2 集成黑盒安全检测工具

9.1.3 典型安全测试工具组合流程

9.1.2 安全测试工具的选择

9.1.1 安全测试工具组合的作用

9.1 定义不同的安全测试工具组合

第9章 安全测试与持续集成

8.5 小结

8.4.3 组件选型收敛和漏洞闭环

8.4.2 形成组件更新与迭代机制

8.4.1 统一网络出口和流程管控

8.4 组件安全运营与管理

8.3.2 安全编译关键设置与流水线集成

8.3.1 Dependency Check与流水线集成

8.3 集成构建安全工具链

8.2.4 安全编译参数

8.2.3 数字签名类工具

8.2.2 成分分析类工具

8.2.1 加壳加固类工具

8.2 选择恰当的构建安全工具

8.1.3 组件仓库技术选型

8.1.2 组件依赖仓库架构

8.1.1 组件依赖仓库周边协作关系

8.1 定义安全可信的基础仓库

第8章 组件安全与持续构建

7.5 小结

7.4.3 代码安全度量指标

7.4.2 漏洞修复的关键策略

7.4.1 代码安全检测的关键策略

7.4 代码安全运营与管理

7.3.2 Fortify集成

7.3.1 SonarQube集成

7.3 集成代码安全工具链

7.2.2 典型DevSecOps软件工厂生产流水线

7.2.1 典型DevSecOps软件工厂组成结构

7.2 构建DevSecOps软件工厂

7.1.2 选择DevSecOps流水线上的代码安全工具

7.1.1 典型代码安全DevSecOps流水线形态

7.1 定义切合实际的DevSecOps流水线

第7章 代码安全与软件工厂

第3部分 DevSecOps流水线及落地实践

6.5 小结

6.4 典型周边生态系统

6.3.7 WAF应用程序防火墙

6.3.6 DongTai交互式漏洞安全检测

6.3.5 OpenRASP运行时安全防护

6.3.4 Nessus漏洞安全检测

6.3.3 AWVS漏洞安全检测

6.3.2 Checkmarx代码安全检测

6.3.1 Fortify代码安全检测

6.3 主流安全工具简介

6.2.5 运行时应用自我保护类

6.2.4 交互式安全检测类

6.2.3 动态安全检测类

6.2.2 静态安全检测类

6.2.1 威胁建模类

6.2 安全工具链分类

6.1.2 集成概览

6.1.1 分层定位

6.1 安全工具链在平台中的定位

第6章 安全工具链及其周边生态

5.4 小结

5.3.3 基于Jenkins+Docker+K8s的持续交付/持续部署流水线

5.3.2 基于GitHub+Docker的持续交付/持续部署流水线

5.3.1 典型操作流程和使用场景

5.3 持续交付/持续部署流水线

5.2.3 运维发布管理系统

5.2.2 配置管理系统

5.2.1 镜像容器管理系统

5.2 持续交付/持续部署流程主要系统构成

5.1.3 其他相关概念

5.1.2 持续部署基本概念

5.1.1 持续交付基本概念

5.1 持续交付与持续部署相关概念

第5章 持续交付与持续部署

4.4 小结

4.3.3 基于Jenkins/GitLab CI的持续集成流水线

4.3.2 基于GitHub的持续集成流水线

4.3.1 典型操作流程和使用场景

4.3 持续集成流水线

4.2.4 其他相关系统

4.2.3 编排调度系统

4.2.2 编译构建系统

4.2.1 版本控制系统

4.2 持续集成流程主要系统构成

4.1.3 其他基本概念

4.1.2 版本控制基本概念

4.1.1 持续集成基本概念

4.1 持续集成与版本控制相关概念

第4章 持续集成与版本控制

3.5 小结

3.4.3 互联网企业私有化DevSecOps平台典型架构

3.4.2 亚马逊云AWS DevSecOps平台架构

3.4.1 微软云Azure DevSecOps平台架构

3.4 企业级DevSecOps平台架构

3.3.2 DevSecOps Studio安装与基本使用

3.3.1 DevSecOps Studio平台架构及组件

3.3 实验级DevSecOps学习平台

3.2 DevSecOps平台架构组成

3.1.2 DevSecOps平台建设需求来源

3.1.1 为什么要开展DevSecOps平台建设

3.1 DevSecOps平台需求

第3章 DevSecOps平台架构

第2部分 DevSecOps平台架构及其组件

2.4 小结

2.3.3 大中型企业DevSecOps建设

2.3.2 中小型企业DevSecOps建设

2.3.1 实际可达的演化路径

2.3 DevSecOps建设规划

2.2.3 可选指标

2.2.2 必选指标

2.2.1 指标概览

2.2 DevSecOps度量指标

2.1.2 OWASP DevSecOps成熟度模型

2.1.1 GSA DevSecOps成熟度模型

2.1 DevSecOps成熟度模型

第2章 DevSecOps体系管理

1.5 小结

1.4.2 DevSecOps核心流程典型场景

1.4.1 DevSecOps核心流程基本组成

1.4 DevSecOps核心流程

1.3.3 DoD实践型模型

1.3.2 Gartner普适性模型

1.3.1 DevOps组织型模型

1.3 DevSecOps参考模型

1.2.3 DevSecOps未来的发展趋势

1.2.2 影响DevSecOps发展的关键因素

1.2.1 DevSecOps发展关键里程碑

1.2 DevSecOps发展历史

1.1.3 DevSecOps的重要组成

1.1.2 DevSecOps的核心理念

1.1.1 DevSecOps的基本概念

1.1 DevSecOps定义

第1章 什么是真正的DevSecOps

第1部分 DevSecOps体系概要

前言

序

作者简介

版权信息

封面

封面

版权信息

作者简介

序

前言

第1部分 DevSecOps体系概要

第1章 什么是真正的DevSecOps

1.1 DevSecOps定义

1.1.1 DevSecOps的基本概念

1.1.2 DevSecOps的核心理念

1.1.3 DevSecOps的重要组成

1.2 DevSecOps发展历史

1.2.1 DevSecOps发展关键里程碑

1.2.2 影响DevSecOps发展的关键因素

1.2.3 DevSecOps未来的发展趋势

1.3 DevSecOps参考模型

1.3.1 DevOps组织型模型

1.3.2 Gartner普适性模型

1.3.3 DoD实践型模型

1.4 DevSecOps核心流程

1.4.1 DevSecOps核心流程基本组成

1.4.2 DevSecOps核心流程典型场景

1.5 小结

第2章 DevSecOps体系管理

2.1 DevSecOps成熟度模型

2.1.1 GSA DevSecOps成熟度模型

2.1.2 OWASP DevSecOps成熟度模型

2.2 DevSecOps度量指标

2.2.1 指标概览

2.2.2 必选指标

2.2.3 可选指标

2.3 DevSecOps建设规划

2.3.1 实际可达的演化路径

2.3.2 中小型企业DevSecOps建设

2.3.3 大中型企业DevSecOps建设

2.4 小结

第2部分 DevSecOps平台架构及其组件

第3章 DevSecOps平台架构

3.1 DevSecOps平台需求

3.1.1 为什么要开展DevSecOps平台建设

3.1.2 DevSecOps平台建设需求来源

3.2 DevSecOps平台架构组成

3.3 实验级DevSecOps学习平台

3.3.1 DevSecOps Studio平台架构及组件

3.3.2 DevSecOps Studio安装与基本使用

3.4 企业级DevSecOps平台架构

3.4.1 微软云Azure DevSecOps平台架构

3.4.2 亚马逊云AWS DevSecOps平台架构

3.4.3 互联网企业私有化DevSecOps平台典型架构

3.5 小结

第4章 持续集成与版本控制

4.1 持续集成与版本控制相关概念

4.1.1 持续集成基本概念

4.1.2 版本控制基本概念

4.1.3 其他基本概念

4.2 持续集成流程主要系统构成

4.2.1 版本控制系统

4.2.2 编译构建系统

4.2.3 编排调度系统

4.2.4 其他相关系统

4.3 持续集成流水线

4.3.1 典型操作流程和使用场景

4.3.2 基于GitHub的持续集成流水线

4.3.3 基于Jenkins/GitLab CI的持续集成流水线

4.4 小结

第5章 持续交付与持续部署

5.1 持续交付与持续部署相关概念

5.1.1 持续交付基本概念

5.1.2 持续部署基本概念

5.1.3 其他相关概念

5.2 持续交付/持续部署流程主要系统构成

5.2.1 镜像容器管理系统

5.2.2 配置管理系统

5.2.3 运维发布管理系统

5.3 持续交付/持续部署流水线

5.3.1 典型操作流程和使用场景

5.3.2 基于GitHub+Docker的持续交付/持续部署流水线

5.3.3 基于Jenkins+Docker+K8s的持续交付/持续部署流水线

5.4 小结

第6章 安全工具链及其周边生态

6.1 安全工具链在平台中的定位

6.1.1 分层定位

6.1.2 集成概览

6.2 安全工具链分类

6.2.1 威胁建模类

6.2.2 静态安全检测类

6.2.3 动态安全检测类

6.2.4 交互式安全检测类

6.2.5 运行时应用自我保护类

6.3 主流安全工具简介

6.3.1 Fortify代码安全检测

6.3.2 Checkmarx代码安全检测

6.3.3 AWVS漏洞安全检测

6.3.4 Nessus漏洞安全检测

6.3.5 OpenRASP运行时安全防护

6.3.6 DongTai交互式漏洞安全检测

6.3.7 WAF应用程序防火墙

6.4 典型周边生态系统

6.5 小结

第3部分 DevSecOps流水线及落地实践

第7章 代码安全与软件工厂

7.1 定义切合实际的DevSecOps流水线

7.1.1 典型代码安全DevSecOps流水线形态

7.1.2 选择DevSecOps流水线上的代码安全工具

7.2 构建DevSecOps软件工厂

7.2.1 典型DevSecOps软件工厂组成结构

7.2.2 典型DevSecOps软件工厂生产流水线

7.3 集成代码安全工具链

7.3.1 SonarQube集成

7.3.2 Fortify集成

7.4 代码安全运营与管理

7.4.1 代码安全检测的关键策略

7.4.2 漏洞修复的关键策略

7.4.3 代码安全度量指标

7.5 小结

第8章 组件安全与持续构建

8.1 定义安全可信的基础仓库

8.1.1 组件依赖仓库周边协作关系

8.1.2 组件依赖仓库架构

8.1.3 组件仓库技术选型

8.2 选择恰当的构建安全工具

8.2.1 加壳加固类工具

8.2.2 成分分析类工具

8.2.3 数字签名类工具

8.2.4 安全编译参数

8.3 集成构建安全工具链

8.3.1 Dependency Check与流水线集成

8.3.2 安全编译关键设置与流水线集成

8.4 组件安全运营与管理

8.4.1 统一网络出口和流程管控

8.4.2 形成组件更新与迭代机制

8.4.3 组件选型收敛和漏洞闭环

8.5 小结

第9章 安全测试与持续集成

9.1 定义不同的安全测试工具组合

9.1.1 安全测试工具组合的作用

9.1.2 安全测试工具的选择

9.1.3 典型安全测试工具组合流程

9.2 集成黑盒安全检测工具

9.2.1 动态安全检测工具集成特点

9.2.2 OWASP ZAP流水线集成与使用

9.2.3 Nessus流水线集成与使用

9.3 整合安全工具与漏洞运营

9.3.1 持续集成中安全工具的整合

9.3.2 安全漏洞收敛与度量

9.4 小结

第10章 基线加固与容器安全

10.1 定义基线加固和安全镜像

10.1.1 安全基线的选择

10.1.2 安全基线和镜像的维护

10.1.3 镜像制作与镜像仓库

10.2 集成容器安全工具链

10.2.1 Trivy容器镜像扫描工具

10.2.2 K8s基线检测工具

10.3 融入DevSecOps黄金管道

10.3.1 Trivy与流水线集成

10.3.2 Kube-Bench与流水线集成

10.4 小结

第11章 基础设施与安全运营

11.1 基础设施即代码（IaC）

11.1.1 通过配置管理消减基础设施风险

11.1.2 遵循基础设施安全最佳实践

11.1.3 保障IaC自身安全

11.2 集成基础设施安全工具链

11.2.1 基础设施安全自动化工具简介

11.2.2 使用Ansible Automation实现私有云基础设施安全自动化

11.2.3 使用Chef Automate实现混合云基础设施安全自动化

11.3 不同组织类型的安全运营

11.3.1 防守型组织的安全运营

11.3.2 对抗型组织的安全运营

11.3.3 实战型组织的安全运营

11.4 小结

第12章 移动App与合规治理

12.1 移动App合规需求来源

12.1.1 移动App个人信息保护历程

12.1.2 相关政策和法律法规

12.1.3 移动App生命周期

12.2 移动App隐私合规检测

12.2.1 检测逻辑剖析

12.2.2 基本信息检测

12.2.3 应用行为检测

12.2.4 传输行为检测

12.2.5 存储行为检测

12.3 与DevSecOps流水线集成

12.3.1 集成概览

12.3.2 关键安全卡点设置

12.3.3 隐私合规管理工作流程

12.3.4 运营管理难点与策略

12.4 小结

参考文献