DevSecOps实战

定　价：¥99.00

作　者：	周纪海，周一帆，马松松，陶芬，杨伟强著
出版社：	机械工业出版社
丛编项：
标　签：	暂缺

购买这本书可以去

ISBN：	9787111695653	出版时间：	2021-12-01	包装：	平装
开本：	16开	页数：	300	字数：

内容简介

　　本书通过描述一家大型互联网企业和一家大型传统银行的DevSecOps转型的过程，帮助读者浅显易懂并且有代入感地了解如何将DevSecOps在企业内部落地和实践。基于各类行业特点的DevSecOps实施与落地方法，是本书的主要技术要点。

作者简介

暂缺《DevSecOps实战》作者简介

图书目录

序
前言
第1章　DevSecOps的演进与落地思考1
1.1　DevOps简介4
1.1.1　DevOps发展简史5
1.1.2　DevOps理念6
1.2　DevSecOps简介7
1.2.1　从DevOps到DevSecOps7
1.2.2　从SDL到DevSecOps11
1.2.3　DevSecOps的指导原则14
1.2.4　DevSecOps实践17
1.3　互联网行业推动DevSecOps的动机与目标 21
1.4　金融行业推动DevSecOps的动机与目标 22
1.5　总结23
第2章　DevSecOps的实施解决方案和体系建设24
2.1　DevSecOps现状调研26
2.1.1　DevSecOps的行业调研26
2.1.2　企业现状调研29
2.2　流程和方法论：敏捷开发与CI/CD34
2.2.1　敏捷开发34
2.2.2　持续集成、持续交付和持续部署40
2.3　技术：工具与自动化41
2.3.1　项目管理工具41
2.3.2　源代码管理工具42
2.3.3　静态代码扫描工具42
2.3.4　静态应用安全测试工具43
2.3.5　持续集成工具44
2.3.6　构建工具44
2.3.7　制品管理工具45
2.3.8　第三方安全扫描工具45
2.3.9　自动化测试工具45
2.3.10　动态安全测试工具46
2.3.11　交互式安全测试工具46
2.3.12　自动化配置/发布工具46
2.3.13　日志分析工具47
2.3.14　监控工具47
2.3.15　DevSecOps工具链48
2.4　文化与组织结构50
2.4.1　DevSecOps的文化和挑战50
2.4.2　DevSecOps的组织结构和角色50
2.5　DevSecOps框架与模型的建立52
2.5.1　DevSecOps的运营模型 52
2.5.2　DevSecOps的实现模型54
2.5.3　DevSecOps的成熟度模型54
2.6　总结56
第3章　DevSecOps转型—从研发入手57
3.1　安全意识和能力提升60
3.1.1　安全意识61
3.1.2　安全能力61
3.1.3　隐私合规63
3.2　安全编码64
3.2.1　默认安全64
3.2.2　安全编码规范64
3.2.3　安全函数库和安全组件65
3.2.4　框架安全65
3.3　源代码管理和安全66
3.3.1　源代码安全管理67
3.3.2　分支策略67
3.3.3　代码评审74
3.4　持续集成75
3.4.1　编译构建和开发环境安全76
3.4.2　持续集成流水线76
3.4.3　安全能力在流水线上的融入78
3.5　代码质量和安全分析79
3.5.1　静态代码质量分析79
3.5.2　静态应用安全测试81
3.5.3　软件成分分析83
3.6　制品管理及安全85
3.7　总结87
第4章　持续测试和安全88
4.1　持续测试—DevOps时代的高效测试之钥90
4.1.1　测试效率面临着巨大挑战91
4.1.2　什么是持续测试92
4.1.3　如何实现持续测试92
4.2　测试执行提效之自动化测试93
4.2.1　分层的自动化测试策略93
4.2.2　单元测试95
4.2.3　接口测试98
4.2.4　UI测试100
4.2.5　其他自动化测试101
4.3　测试执行提效之精准测试101
4.4　测试流程提效：迭代内测试102
4.4.1　持续测试带来流程上的变革要求102
4.4.2　如何实践迭代内测试103
4.5　持续测试下的“左移”和“右移”104
4.5.1　测试左移104
4.5.2　测试右移106
4.5.3　“左移”“右移”不等于“去测试化”107
4.6　应用安全测试左移108
4.6.1　动态应用安全测试108
4.6.2　交互式应用安全测试112
4.7　DevSecOps影响着测试的方方面面116
4.7.1　测试分类116
4.7.2　质量度量118
4.7.3　组织架构120
4.7.4　团队文化121
4.8　总结122
第5章　业务与安全需求管理123
5.1　业务功能需求管理125
5.1.1　需求的收集与筛选126
5.1.2　需求的分析127
5.1.3　需求排期130
5.1.4　需求描述和文档130
5.1.5　需求拆分132
5.1.6　需求评审132
5.1.7　需求状态管理133
5.1.8　需求管理工具134
5.1.9　临时/紧急需求134
5.2　安全需求管理135
5.2.1　需求的安全分类136
5.2.2　需求的安全评审138
5.3　总结143
第6章　进一步左移—设计与架构144
6.1　为什么需要微服务架构147
6.1.1　单体架构的局限性148
6.1.2　微服务架构的优势149
6.1.3　微服务与DevOps的关系149
6.1.4　微服务化的实施路线151
6.2　微服务拆分与设计151
6.2.1　微服务拆分原则151
6.2.2　微服务设计原则152
6.2.3　微服务拆分方法152
6.3　微服务开发与组合：微服务开发框架154
6.3.1　Spring Cloud微服务架构154
6.3.2　Service Mesh微服务架构157
6.4　微服务改造：单体系统重构160
6.4.1　改造策略160
6.4.2　微服务改造的关键要素161
6.4.3　微服务改造的实施步骤161
6.5　安全设计与架构安全162
6.5.1　安全风险评估体系的建立162
6.5.2　项目的分类定义164
6.6　快速检查表的使用166
6.7　完整风险评估—威胁建模169
6.7.1　识别资产170
6.7.2　创建架构设计概览171
6.7.3　分析应用系统171
6.7.4　识别威胁172
6.7.5　记录威胁175
......