互联网
类型
可以朗读
语音朗读
248千字
字数
2022-01-01
发行日期
展开全部
主编推荐语
互联网和金融业大厂资深专家多年经验总结,从软件开全生命周期讲解新时代软件快速交付下效能与安全的融合。
内容简介
本书通过描述一家大型互联网企业和一家大型传统银行的DevSecOps转型的过程,帮助读者浅显易懂并且有代入感地了解如何将DevSecOps在企业内部落地和实践。基于各类行业特点的DevSecOps实施与落地方法,是本书的主要技术要点。
目录
- 版权信息
- 作者简介
- 序
- 前言
- 第1章 DevSecOps的演进与落地思考
- 1.1 DevOps简介
- 1.1.1 DevOps发展简史
- 1.1.2 DevOps理念
- 1.2 DevSecOps简介
- 1.2.1 从DevOps到DevSecOps
- 1.2.2 从SDL到DevSecOps
- 1.2.3 DevSecOps的指导原则
- 1.2.4 DevSecOps实践
- 1.3 互联网行业推动DevSecOps的动机与目标
- 1.4 金融行业推动DevSecOps的动机与目标
- 1.5 总结
- 第2章 DevSecOps的实施解决方案和体系建设
- 2.1 DevSecOps现状调研
- 2.1.1 DevSecOps的行业调研
- 2.1.2 企业现状调研
- 2.2 流程和方法论:敏捷开发与CI/CD
- 2.2.1 敏捷开发
- 2.2.2 持续集成、持续交付和持续部署
- 2.3 技术:工具与自动化
- 2.3.1 项目管理工具
- 2.3.2 源代码管理工具
- 2.3.3 静态代码扫描工具
- 2.3.4 静态应用安全测试工具
- 2.3.5 持续集成工具
- 2.3.6 构建工具
- 2.3.7 制品管理工具
- 2.3.8 第三方安全扫描工具
- 2.3.9 自动化测试工具
- 2.3.10 动态安全测试工具
- 2.3.11 交互式安全测试工具
- 2.3.12 自动化配置/发布工具
- 2.3.13 日志分析工具
- 2.3.14 监控工具
- 2.3.15 DevSecOps工具链
- 2.4 文化与组织结构
- 2.4.1 DevSecOps的文化和挑战
- 2.4.2 DevSecOps的组织结构和角色
- 2.5 DevSecOps框架与模型的建立
- 2.5.1 DevSecOps的运营模型
- 2.5.2 DevSecOps的实现模型
- 2.5.3 DevSecOps的成熟度模型
- 2.6 总结
- 第3章 DevSecOps转型——从研发入手
- 3.1 安全意识和能力提升
- 3.1.1 安全意识
- 3.1.2 安全能力
- 3.1.3 隐私合规
- 3.2 安全编码
- 3.2.1 默认安全
- 3.2.2 安全编码规范
- 3.2.3 安全函数库和安全组件
- 3.2.4 框架安全
- 3.3 源代码管理和安全
- 3.3.1 源代码安全管理
- 3.3.2 分支策略
- 3.3.3 代码评审
- 3.4 持续集成
- 3.4.1 编译构建和开发环境安全
- 3.4.2 持续集成流水线
- 3.4.3 安全能力在流水线上的融入
- 3.5 代码质量和安全分析
- 3.5.1 静态代码质量分析
- 3.5.2 静态应用安全测试
- 3.5.3 软件成分分析
- 3.6 制品管理及安全
- 3.7 总结
- 第4章 持续测试和安全
- 4.1 持续测试——DevOps时代的高效测试之钥
- 4.1.1 测试效率面临着巨大挑战
- 4.1.2 什么是持续测试
- 4.1.3 如何实现持续测试
- 4.2 测试执行提效之自动化测试
- 4.2.1 分层的自动化测试策略
- 4.2.2 单元测试
- 4.2.3 接口测试
- 4.2.4 UI测试
- 4.2.5 其他自动化测试
- 4.3 测试执行提效之精准测试
- 4.4 测试流程提效:迭代内测试
- 4.4.1 持续测试带来流程上的变革要求
- 4.4.2 如何实践迭代内测试
- 4.5 持续测试下的“左移”和“右移”
- 4.5.1 测试左移
- 4.5.2 测试右移
- 4.5.3 “左移”“右移”不等于“去测试化”
- 4.6 应用安全测试左移
- 4.6.1 动态应用安全测试
- 4.6.2 交互式应用安全测试
- 4.7 DevSecOps影响着测试的方方面面
- 4.7.1 测试分类
- 4.7.2 质量度量
- 4.7.3 组织架构
- 4.7.4 团队文化
- 4.8 总结
- 第5章 业务与安全需求管理
- 5.1 业务功能需求管理
- 5.1.1 需求的收集与筛选
- 5.1.2 需求的分析
- 5.1.3 需求排期
- 5.1.4 需求描述和文档
- 5.1.5 需求拆分
- 5.1.6 需求评审
- 5.1.7 需求状态管理
- 5.1.8 需求管理工具
- 5.1.9 临时/紧急需求
- 5.2 安全需求管理
- 5.2.1 需求的安全分类
- 5.2.2 需求的安全评审
- 5.3 总结
- 第6章 进一步左移——设计与架构
- 6.1 为什么需要微服务架构
- 6.1.1 单体架构的局限性
- 6.1.2 微服务架构的优势
- 6.1.3 微服务与DevOps的关系
- 6.1.4 微服务化的实施路线
- 6.2 微服务拆分与设计
- 6.2.1 微服务拆分原则
- 6.2.2 微服务设计原则
- 6.2.3 微服务拆分方法
- 6.3 微服务开发与组合:微服务开发框架
- 6.3.1 Spring Cloud微服务架构
- 6.3.2 Service Mesh微服务架构
- 6.4 微服务改造:单体系统重构
- 6.4.1 改造策略
- 6.4.2 微服务改造的关键要素
- 6.4.3 微服务改造的实施步骤
- 6.5 安全设计与架构安全
- 6.5.1 安全风险评估体系的建立
- 6.5.2 项目的分类定义
- 6.6 快速检查表的使用
- 6.7 完整风险评估——威胁建模
- 6.7.1 识别资产
- 6.7.2 创建架构设计概览
- 6.7.3 分析应用系统
- 6.7.4 识别威胁
- 6.7.5 记录威胁
- 6.7.6 威胁评级
- 6.7.7 威胁建模的工具与自动化
- 6.8 合规性检查
- 6.9 总结
- 第7章 DevSecOps运维和线上运营
- 7.1 配置和环境管理
- 7.1.1 基础设施即代码
- 7.1.2 配置的安全管理原则
- 7.1.3 安全的计算环境
- 7.2 发布部署策略
- 7.3 持续监控和安全
- 7.3.1 业务和应用层级的持续监控
- 7.3.2 安全监控
- 7.3.3 统一监控平台的建立
- 7.4 日志分析
- 7.4.1 日志管理的挑战
- 7.4.2 日志平台建设
- 7.4.3 日志的安全
- 7.5 事件响应与业务的连续性
- 7.5.1 信息安全应急响应机制
- 7.5.2 业务的连续性
- 7.6 身份认证和访问控制
- 7.6.1 身份认证与访问控制的方式及对应问题
- 7.6.2 统一的身份认证与访问管理
- 7.7 数据管理和安全
- 7.7.1 数据本身的安全
- 7.7.2 数据的安全防护
- 7.7.3 大数据安全
- 7.7.4 数据治理与合规
- 7.8 安全众测
- 7.9 红蓝对抗
- 7.10 DevOps平台的安全
- 7.11 RASP
- 7.11.1 RASP和WAF
- 7.11.2 RASP的工作原理和特点
- 7.11.3 RASP技术面临的挑战
- 7.12 总结
- 第8章 DevSecOps度量体系建设
- 8.1 持续反馈和度量驱动
- 8.2 度量指标的定义与成熟度模型
- 8.2.1 度量的指标
- 8.2.2 成熟度模型
- 8.3 度量平台的建立、安全管控和可视化
- 8.4 度量实践常见的问题和误区
- 8.5 实践中如何正确使用度量
- 8.6 研发效能度量实践
- 8.7 总结
- 第9章 云原生场景下的DevSecOps应用
- 9.1 云原生带来的新变化
- 9.1.1 云原生的DevOps新变化
- 9.1.2 云原生面临的新安全风险
- 9.1.3 云原生带来的新安全需求
- 9.2 云原生DevSecOps实施流程
- 9.2.1 开发阶段的安全
- 9.2.2 分发阶段的安全
- 9.2.3 部署阶段的安全
- 9.2.4 运行时阶段的安全
- 9.3 云原生DevSecOps相关安全工具
- 9.3.1 云原生安全开源工具
- 9.3.2 云原生安全商业产品
- 9.3.3 云原生DevSecOps实践框架
- 9.4 云原生DevSecOps的落地应用和演进趋势
- 9.5 总结
- 后记
- 参考文献
展开全部
评分及书评
尚无评分
目前还没人评分
- 加载中...
出版方
机械工业出版社有限公司
机械工业出版社是全国优秀出版社,自1952年成立以来,坚持为科技、为教育服务,以向行业、向学校提供优质、权威的精神产品为宗旨,以“服务社会和人民群众需求,传播社会主义先进文化”为己任,产业结构不断完善,已由传统的图书出版向着图书、期刊、电子出版物、音像制品、电子商务一体化延伸,现已发展为多领域、多学科的大型综合性出版社,涉及机械、电工电子、汽车、计算机、经济管理、建筑、ELT、科普以及教材、教辅等领域。
