本书以DevSecOps体系架构为基础，围绕GitOps开源生态，重点介绍DevSecOps平台建设和技术实现细节，从黄金管道、安全工具链、周边生态系统三个方面入手，为读者介绍各种安全工具与黄金管道的集成，以及基于黄金管道之上的安全自动化与安全运营。通过阅读本书，读者可以全面了解DevSecOps技术的全貌，同时，熟悉开展DevSecOps实践和管理运营所需的知识体系，是一本普适性的、基于容器化和云原生技术的DevSecOps实践指南。本书适用于网络安全人员、DevOps/DevSecOps布道师、软件开发人员、系统架构师、基础架构运维工程师、质量工程师，以及高等院校对DevSecOps安全感兴趣的学生和研究人员。

序
前言
第1部分 DevSecOps体系概要
第1章 什么是真正的DevSecOps
1.1 DevSecOps定义
1.1.1 DevSecOps的基本概念
1.1.2 DevSecOps的核心理念
1.1.3 DevSecOps的重要组成
1.2 DevSecOps发展历史
1.2.1 DevSecOps发展关键里程碑
1.2.2 影响DevSecOps发展的关键因素
1.2.3 DevSecOps未来的发展趋势
1.3 DevSecOps参考模型
1.3.1 DevOps组织型模型
1.3.2 Gartner普适性模型
1.3.3 DoD实践型模型
1.4 DevSecOps核心流程
1.4.1 DevSecOps核心流程基本组成
1.4.2 DevSecOps核心流程典型场景
1.5 小结
第2章 DevSecOps体系管理
2.1 DevSecOps成熟度模型
2.1.1 GSADevSecOps成熟度模型
2.1.2 OWASPDevSecOps成熟度模型
2.2 DevSecOps度量指标
2.2.1 指标概览
2.2.2 必选指标
2.2.3 可选指标
2.3 DevSecOps建设规划
2.3.1 实际可达的演化路径
2.3.2 中小型企业DevSecOps建设
2.3.3 大中型企业DevSecOps建设
2.4 小结
第2部分 DevSecOps平台架构及其组件
第3章 DevSecOps平台架构
3.1 DevSecOps平台需求
3.1.1 为什么要开展DevSecOps平台建设
3.1.2 DevSecOps平台建设需求来源
3.2 DevSecOps平台架构组成
3.3 实验级DevSecOps学习平台
3.3.1 DevSecOpsStudio平台架构及组件
3.3.2 DevSecOpsStudio安装与基本使用
3.4 企业级DevSecOps平台架构
3.4.1 微软云AzureDevSecOps平台架构
3.4.2 亚马逊云AWSDevSecOps平台架构
3.4.3 互联网企业私有化DevSecOps平台典型架构
3.5 小结
第4章 持续集成与版本控制
4.1 持续集成与版本控制相关概念
4.1.1 持续集成基本概念
4.1.2 版本控制基本概念
4.1.3 其他基本概念
4.2 持续集成流程主要系统构成
4.2.1 版本控制系统
4.2.2 编译构建系统
4.2.3 编排调度系统
4.2.4 其他相关系统
4.3 持续集成流水线
4.3.1 典型操作流程和使用场景
4.3.2 基于GitHub的持续集成流水线
4.3.3 基于JenkinsGitLabCI的持续集成流水线
4.4 小结
第5章 持续交付与持续部署
5.1 持续交付与持续部署相关概念
5.1.1 持续交付基本概念
5.1.2 持续部署基本概念
5.1.3 其他相关概念
5.2 持续交付持续部署流程主要系统构成
5.2.1 镜像容器管理系统
5.2.2 配置管理系统
5.2.3 运维发布管理系统
5.3 持续交付持续部署流水线
5.3.1 典型操作流程和使用场景
5.3.2 基于GitHub+Docker的持续交付持续部署流水线
5.3.3 基于Jenkins+Docker+K8s的持续交付持续部署流水线
5.4 小结
第6章 安全工具链及其周边生态
6.1 安全工具链在平台中的定位
6.1.1 分层定位
6.1.2 集成概览
6.2 安全工具链分类
6.2.1 威胁建模类
6.2.2 静态安全检测类
6.2.3 动态安全检测类
6.2.4 交互式安全检测类
6.2.5 运行时应用自我保护类
6.3 主流安全工具简介
6.3.1 Fortify代码安全检测
6.3.2 Checkmarx代码安全检测
6.3.3 AWVS漏洞安全检测
6.3.4 Nessus漏洞安全检测
6.3.5 OpenRASP运行时安全防护
6.3.6 DongTai交互式漏洞安全检测
6.3.7 WAF应用程序防火墙
6.4 典型周边生态系统
6.5 小结
第3部分 DevSecOps流水线及落地实践
第7章 代码安全与软件工厂
7.1 定义切合实际的DevSecOps流水线
7.1.1 典型代码安全DevSecOps流水线形态
7.1.2 选择DevSecOps流水线上的代码安全工具
7.2 构建DevSecOps软件工厂
7.2.1 典型DevSecOps软件工厂组成结构
7.2.2 典型DevSecOps软件工厂生产流水线
7.3 集成代码安全工具链
7.3.1 SonarQube集成
7.3.2 Fortify集成
7.4 代码安全运营与管理
7.4.1 代码安全检测的关键策略
7.4.2 漏洞修复的关键策略
7.4.3 代码安全度量指标
7.5 小结
第8章 组件安全与持续构建
8.1 定义安全可信的基础仓库
8.1.1 组件依赖仓库周边协作关系
8.1.2 组件依赖仓库架构
8.1.3 组件仓库技术选型
8.2 选择恰当的构建安全工具
8.2.1 加壳加固类工具
8.2.2 成分分析类工具
8.2.3 数字签名类工具
8.2.4 安全编译参数
8.3 集成构建安全工具链
8.3.1 DependencyCheck与流水线集成
8.3.2 安全编译关键设