计算机
类型
可以朗读
语音朗读
217千字
字数
2023-10-01
发行日期
展开全部
主编推荐语
本书系统地阐述企业实践DevSecOps所需的理论、技术和方法。
内容简介
DevSecOps在DevOps的基础上融入安全底线思维,是软件工程领域的前沿理论。
本书首先从软件工程发展趋势,尤其是敏捷、DevOps等领域的发展趋势出发,结合DevOps实践、DevSecOps相关报告和标准,循序渐进地阐述DevSecOps理念;
然后解读DevSecOps最佳实践,根据DevSecOps最佳实践涉及的重点阶段和相关技术讲解平台设计与工具应用,并结合开源、云原生等领域的流行工具介绍DevSecOps工具链及平台建设方法;
最后以作者的实战经验和业界的实践案例介绍DevSecOps的实施方法。
本书适合有DevSecOps转型需求的国内IT从业人员阅读,包括项目管理、开发、测试、运营、安全等相关工作的IT从业人员,同时也适合作为IT培训机构和高校教授先进软件工程理论及开发运营模式的教材。
目录
- 版权信息
- 内容提要
- 前言
- 资源与支持
- 第1章 DevOps基础
- 1.1 从瀑布到敏捷,从敏捷到DevOps
- 1.1.1 软件的生产力
- 1.1.2 从瀑布到敏捷
- 1.1.3 DevOps的源起
- 1.2 DevOps的实践方法论
- 1.2.1 DevOps的3个原则
- 1.2.2 DevOps的5个理念
- 1.3 DevOps解决的问题
- 1.3.1 缩短市场响应时间
- 1.3.2 减少技术债务
- 1.3.3 消除系统脆弱性
- 1.4 DevOps现状及发展趋势
- 1.4.1 中国DevOps现状
- 1.4.2 DevOps发展方向
- 1.5 DevOps相关标准规范
- 1.5.1 DevOps能力成熟度模型
- 1.5.2 DevOps解决方案标准
- 1.5.3 信息技术服务开发运维技术要求
- 第2章 从安全视角看DevOps
- 2.1 从SDL到DevSecOps
- 2.1.1 DevOps对SDL的挑战
- 2.1.2 SRE与DevOps
- 2.1.3 DevSecOps支撑体系
- 2.1.4 DevSecOps工作过程的六大要点
- 2.1.5 DevSecOps的3层方法论
- 2.2 DevSecOps现状及发展趋势
- 2.2.1 云安全与DevSecOps
- 2.2.2 安全软件开发框架
- 2.2.3 《GitLab第四次全球DevSecOps年度调查》解读
- 2.2.4 《研发运营安全白皮书》解读
- 2.2.5 DevSecOps技术发展趋势预测
- 2.3 软件供应链安全与DevSecOps
- 2.3.1 软件供应链安全问题
- 2.3.2 软件供应链的生命周期
- 2.3.3 开源和云原生时代下的软件供应链
- 2.3.4 国外软件供应链安全发展现状
- 2.3.5 国内软件供应链安全发展现状
- 2.3.6 软件供应链攻击类型
- 2.3.7 软件供应链安全风险分析
- 2.3.8 应用DevSecOps应对软件供应链安全风险
- 2.3.9 软件供应链安全最新发展趋势
- 第3章 DevSecOps最佳实践
- 3.1 构建安全与安全左移
- 3.1.1 安全左移
- 3.1.2 安全意识与教育
- 3.1.3 常见漏洞列表
- 3.1.4 网络安全实验和攻防演练
- 3.1.5 结对编程和同行评审
- 3.1.6 Scrum中的安全性
- 3.1.7 代码审计
- 3.2 安全架构
- 3.2.1 自适应安全架构
- 3.2.2 零信任模型
- 3.2.3 ATT&CK框架
- 3.2.4 CSMA
- 3.3 安全设计
- 3.3.1 核心安全设计原则
- 3.3.2 威胁建模
- 3.3.3 微服务安全
- 3.3.4 API安全
- 3.3.5 容器安全
- 3.3.6 流水线安全
- 3.4 持续安全
- 3.4.1 测试驱动安全
- 3.4.2 攻击监控与应对
- 3.4.3 实现持续的安全性
- 3.5 安全自动化
- 3.5.1 实现自动化
- 3.5.2 应用安全测试
- 3.5.3 移动应用安全测试
- 3.5.4 基础设施安全测试
- 3.6 云原生安全
- 3.6.1 云原生安全的定义
- 3.6.2 Gartner的云安全体系
- 3.6.3 云原生应用的供应链安全
- 3.6.4 容器技术安全基准
- 3.6.5 混沌工程思想
- 3.6.6 云上安全部署
- 3.6.7 灰度发布
- 3.7 零信任网络安全
- 3.7.1 零信任
- 3.7.2 微隔离
- 3.8 安全度量
- 3.8.1 软件安全成熟度发展史
- 3.8.2 软件安全构建成熟度模型
- 3.8.3 可信研发运营安全能力成熟度模型
- 第4章 DevSecOps平台设计与工具应用
- 4.1 DevSecOps模型设计
- 4.1.1 概念模型
- 4.1.2 分层模型
- 4.1.3 架构模型
- 4.2 DevSecOps工具链设计
- 4.2.1 计划阶段
- 4.2.2 创建阶段
- 4.2.3 验证阶段
- 4.2.4 准生产阶段
- 4.2.5 发布阶段
- 4.2.6 配置阶段
- 4.2.7 检测阶段
- 4.2.8 响应阶段
- 4.2.9 预报阶段
- 4.2.10 调整阶段
- 4.3 代码安全托管与代码安全
- 4.3.1 高可用的GitLab
- 4.3.2 代码安全托管
- 4.3.3 SAST
- 4.4 开源治理
- 4.4.1 SCA工具选型
- 4.4.2 SCA工具应用
- 4.4.3 开源治理体系与平台建设
- 4.5 API安全防护
- 4.5.1 API安全防护措施
- 4.5.2 API安全工具
- 4.6 制品库管理
- 4.6.1 制品与制品库
- 4.6.2 制品库管理需要解决的问题
- 4.6.3 制品库管理要求
- 4.7 原生安全防护
- 4.7.1 原生主机安全
- 4.7.2 原生容器安全
- 4.7.3 原生应急响应和取证
- 4.8 DAST
- OWASP ZAP
- 4.9 IAST
- 4.9.1 IAST的检测方式
- 4.9.2 IAST的漏洞发现能力
- 4.9.3 IAST工具的基本能力要求
- 4.9.4 IAST与DevSecOps流程的整合
- 4.9.5 IAST与SCA的集成
- 4.10 RASP
- 4.10.1 RASP技术原理
- 4.10.2 OpenRASP
- 4.10.3 RASP与DevSecOps流程的整合
- 4.11 BAS
- 4.11.1 人工渗透测试的限制
- 4.11.2 云渗透测试
- 4.11.3 紫队
- 4.11.4 自动化BAS
- 4.11.5 有效的BAS
- 4.11.6 XM Cyber
- 4.12 以安全为中心的流量分析
- 4.12.1 网络安全监控需求
- 4.12.2 DPI
- 4.12.3 基于nDPI的流量处理
- 4.12.4 应用场景
- 4.12.5 云原生安全网格平台
- 4.13 混沌工程
- 4.13.1 生产环境中的问题
- 4.13.2 实施混沌工程的原则
- 4.13.3 混沌工程测试平台能力
- 4.13.4 混沌工程工具
- 4.14 网络安全演练
- 4.15 全链路压力测试
- 4.15.1 性能测试的新挑战
- 4.15.2 全链路压力测试技术
- 4.15.3 监控分析技术
- 4.15.4 开源全链路压力测试平台Takin
- 4.16 DevSecOps平台建设方法
- 4.16.1 “一站式”能力建设
- 4.16.2 “云平台+开源工具”的DevSecOps构建
- 4.16.3 构建“黄金管道”
- 4.16.4 人工智能与DevSecOps
- 4.17 基于GitLab集成工具链实现DevSecOps
- 4.17.1 GitLab集成工具链实现安全的DevOps
- 4.17.2 GitLab集成工具链实现GitOps模式
- 第5章 实践案例
- 5.1 某企业持续集成项目
- 5.1.1 项目背景
- 5.1.2 解决方案
- 5.2 某电网公司DevSecOps体系建设
- 5.2.1 背景
- 5.2.2 体系设计方法
- 5.2.3 需求分析
- 5.2.4 总体设计目标
- 5.2.5 核心设计内容
- 5.2.6 专题设计
- 5.3 某电信运营商公司DevOps平台规划
- 5.3.1 平台建设目标
- 5.3.2 平台建设范围
- 5.3.3 平台需求分析和规划设计
- 5.3.4 平台技术实现方案
- 5.4 双模发布管理平台的设计与应用
- 5.4.1 产生背景
- 5.4.2 双模发布管理平台设计
- 5.4.3 案例及功能说明
展开全部
评分及书评
尚无评分
目前还没人评分
出版方
人民邮电出版社
人民邮电出版社是工业和信息化部主管的大型专业出版社,成立于1953年10月1日。人民邮电出版社坚持“立足信息产业、面向现代社会、传播科学知识、服务科教兴国”,致力于通信、计算机、电子技术、教材、少儿、经管、摄影、集邮、旅游、心理学等领域的专业图书出版。
