封面
版权信息
版权
内容提要
前言
第1章 DevOps基础
1.1 从瀑布到敏捷,从敏捷到DevOps
1.1.1 软件的生产力
1.1.2 从瀑布到敏捷
1.1.3 DevOps的源起
1.2 DevOps的实践方法论
1.2.1 DevOps的3个原则
1.2.2 DevOps的5个理念
1.3 DevOps解决的问题
1.3.1 缩短市场响应时间
1.3.2 减少技术债务
1.3.3 消除系统脆弱性
1.4 DevOps现状及发展趋势
1.4.1 中国DevOps现状
1.4.2 DevOps发展方向
1.5 DevOps相关标准规范
1.5.1 DevOps能力成熟度模型
1.5.2 DevOps解决方案标准
1.5.3 信息技术服务开发运维技术要求
第2章 从安全视角看DevOps
2.1 从SDL到DevSecOps
2.1.1 DevOps对SDL的挑战
2.1.2 SRE与DevOps
2.1.3 DevSecOps支撑体系
2.1.4 DevSecOps工作过程的六大要点
2.1.5 DevSecOps的3层方法论
2.2 DevSecOps现状及发展趋势
2.2.1 云安全与DevSecOps
2.2.2 安全软件开发框架
2.2.3 《GitLab第四次全球DevSecOps年度调查》解读
2.2.4 《研发运营安全白皮书》解读
2.2.5 DevSecOps技术发展趋势预测
2.3 软件供应链安全与DevSecOps
2.3.1 软件供应链安全问题
2.3.2 软件供应链的生命周期
2.3.3 开源和云原生时代下的软件供应链
2.3.4 国外软件供应链安全发展现状
2.3.5 国内软件供应链安全发展现状
2.3.6 软件供应链攻击类型
2.3.7 软件供应链安全风险分析
2.3.8 应用DevSecOps应对软件供应链安全风险
2.3.9 软件供应链安全最新发展趋势
第3章 DevSecOps最佳实践
3.1 构建安全与安全左移
3.1.1 安全左移
3.1.2 安全意识与教育
3.1.3 常见漏洞列表
3.1.4 网络安全实验和攻防演练
3.1.5 结对编程和同行评审
3.1.6 Scrum中的安全性
3.1.7 代码审计
3.2 安全架构
3.2.1 自适应安全架构
3.2.2 零信任模型
3.2.3 ATT&CK框架
3.2.4 CSMA
3.3 安全设计
3.3.1 核心安全设计原则
3.3.2 威胁建模
3.3.3 微服务安全
3.3.4 API安全
3.3.5 容器安全
3.3.6 流水线安全
3.4 持续安全
3.4.1 测试驱动安全
3.4.2 攻击监控与应对
3.4.3 实现持续的安全性
3.5 安全自动化
3.5.1 实现自动化
3.5.2 应用安全测试
3.5.3 移动应用安全测试
3.5.4 基础设施安全测试
3.6 云原生安全
3.6.1 云原生安全的定义
3.6.2 Gartner的云安全体系
3.6.3 云原生应用的供应链安全
3.6.4 容器技术安全基准
3.6.5 混沌工程思想
3.6.6 云上安全部署
3.6.7 灰度发布
3.7 零信任网络安全
3.7.1 零信任
3.7.2 微隔离
3.8 安全度量
3.8.1 软件安全成熟度发展史
3.8.2 软件安全构建成熟度模型
3.8.3 可信研发运营安全能力成熟度模型
第4章 DevSecOps平台设计与工具应用
4.1 DevSecOps模型设计
4.1.1 概念模型
4.1.2 分层模型
4.1.3 架构模型
4.2 DevSecOps工具链设计
4.2.1 计划阶段
4.2.2 创建阶段
4.2.3 验证阶段
4.2.4 准生产阶段
4.2.5 发布阶段
4.2.6 配置阶段
4.2.7 检测阶段
4.2.8 响应阶段
4.2.9 预报阶段
4.2.10 调整阶段
4.3 代码安全托管与代码安全
4.3.1 高可用的GitLab
4.3.2 代码安全托管
4.3.3 SAST
4.4 开源治理
4.4.1 SCA工具选型
4.4.2 SCA工具应用
4.4.3 开源治理体系与平台建设
4.5 API安全防护
4.5.1 API安全防护措施
4.5.2 API安全工具
4.6 制品库管理
4.6.1 制品与制品库
4.6.2 制品库管理需要解决的问题
4.6.3 制品库管理要求
4.7 原生安全防护
4.7.1 原生主机安全
4.7.2 原生容器安全
4.7.3 原生应急响应和取证
4.8 DAST
OWASP ZAP
4.9 IAST
4.9.1 IAST的检测方式
4.9.2 IAST的漏洞发现能力
4.9.3 IAST工具的基本能力要求
4.9.4 IAST与DevSecOps流程的整合
4.9.5 IAST与SCA的集成
4.10 RASP
4.10.1 RASP技术原理
4.10.2 OpenRASP
4.10.3 RASP与DevSecOps流程的整合
4.11 BAS
4.11.1 人工渗透测试的限制
4.11.2 云渗透测试
4.11.3 紫队
4.11.4 自动化BAS
4.11.5 有效的BAS
4.11.6 XM Cyber
4.12 以安全为中心的流量分析
4.12.1 网络安全监控需求
4.12.2 DPI
4.12.3 基于nDPI的流量处理
4.12.4 应用场景
4.12.5 云原生安全网格平台
4.13 混沌工程
4.13.1 生产环境中的问题
4.13.2 实施混沌工程的原则
4.13.3 混沌工程测试平台能力
4.13.4 混沌工程工具
4.14 网络安全演练
4.15 全链路压力测试
4.15.1 性能测试的新挑战
4.15.2 全链路压力测试技术
4.15.3 监控分析技术
4.15.4 开源全链路压力测试平台Takin
4.16 DevSecOps平台建设方法
4.16.1 “一站式”能力建设
4.16.2 “云平台+开源工具”的DevSecOps构建
4.16.3 构建“黄金管道”
4.16.4 人工智能与DevSecOps
4.17 基于GitLab集成工具链实现DevSecOps
4.17.1 GitLab集成工具链实现安全的DevOps
4.17.2 GitLab集成工具链实现GitOps模式
第5章 实践案例
5.1 某企业持续集成项目
5.1.1 项目背景
5.1.2 解决方案
5.2 某电网公司DevSecOps体系建设
5.2.1 背景
5.2.2 体系设计方法
5.2.3 需求分析
5.2.4 总体设计目标
5.2.5 核心设计内容
5.2.6 专题设计
5.3 某电信运营商公司DevOps平台规划
5.3.1 平台建设目标
5.3.2 平台建设范围
5.3.3 平台需求分析和规划设计
5.3.4 平台技术实现方案
5.4 双模发布管理平台的设计与应用
5.4.1 产生背景
5.4.2 双模发布管理平台设计
5.4.3 案例及功能说明
更新时间:2023-11-29 18:50:50
完结共191章
倒序