序
前言
第1部分DevSecOps体系概要
第1章什么是真正的DevSecOps
1.1DevSecOps定义
1.1.1DevSecOps的基本概念
1.1.2DevSecOps的核心理念
1.1.3DevSecOps的重要组成
1.2DevSecOps发展历史
1.2.1DevSecOps发展关键里程碑
1.2.2影响DevSecOps发展的关键因素
1.2.3DevSecOps未来的发展趋势
1.3DevSecOps参考模型
1.3.1DevOps组织型模型
1.3.2Gartner普适性模型
1.3.3DoD实践型模型
1.4DevSecOps核心流程
1.4.1DevSecOps核心流程基本组成
1.4.2DevSecOps核心流程典型场景
1.5小结
第2章DevSecOps体系管理
2.1DevSecOps成熟度模型
2.1.1GSA DevSecOps成熟度模型
2.1.2OWASP DevSecOps成熟度模型2.2DevSecOps度量指标
2.2.1指标概览
2.2.2必选指标
2.2.3可选指标
2.3DevSecOps建设规划
2.3.1实际可达的演化路径
2.3.2中小型企业DevSecOps建设
2.3.3大中型企业DevSecOps建设
2.4小结
第2部分DevSecOps平台架构及其组件
第3章DevSecOps平台架构
3.1DevSecOps平台需求
3.1.1为什么要开展DevSecOps平台建设
3.1.2DevSecOps平台建设需求来源
3.2DevSecOps平台架构组成
3.3实验级DevSecOps学习平台
3.3.1DevSecOps Studio平台架构及组件
3.3.2DevSecOps Studio安装与基本使用
3.4企业级DevSecOps平台架构
3.4.1微软云Azure DevSecOps平台架构
3.4.2亚马逊云AWS DevSecOps平台架构
3.4.3互联网企业私有化DevSecOps平台典型架构
3.5小结
第4章持续集成与版本控制
4.1持续集成与版本控制相关概念
4.1.1持续集成基本概念
4.1.2版本控制基本概念
4.1.3其他基本概念
4.2持续集成流程主要系统构成
4.2.1版本控制系统
4.2.2编译构建系统
4.2.3编排调度系统
4.2.4其他相关系统4.3持续集成流水线
4.3.1典型操作流程和使用场景
4.3.2基于GitHub的持续集成流水线
4.3.3基于JenkinsGitLab CI的持续集成流水线
4.4小结
第5章持续交付与持续部署
5.1持续交付与持续部署相关概念
5.1.1持续交付基本概念
5.1.2持续部署基本概念
5.1.3其他相关概念
5.2持续交付持续部署流程主要系统构成
5.2.1镜像容器管理系统
5.2.2配置管理系统
5.2.3运维发布管理系统
5.3持续交付持续部署流水线
5.3.1典型操作流程和使用场景
5.3.2基于GitHub+Docker的持续交付持续部署流水线
5.3.3基于Jenkins+Docker+K8s的持续交付持续部署流水线
5.4小结
第6章安全工具链及其周边生态
6.1安全工具链在平台中的定位
6.1.1分层定位
6.1.2集成概览
6.2安全工具链分类
6.2.1威胁建模类
6.2.2静态安全检测类
6.2.3动态安全检测类
6.2.4交互式安全检测类
6.2.5运行时应用自我保护类
6.3主流安全工具简介
6.3.1Fortify代码安全检测
6.3.2Checkmarx代码安全检测
6.3.3AWVS漏洞安全检测
6.3.4Nessus漏洞安全检测
6.3.5OpenRASP运行时安全防护6.3.6DongTai交互式漏洞安全检测
6.3.7WAF应用程序防火墙
6.4典型周边生态系统
6.5小结
第3部分DevSecOps流水线及落地实践
第7章代码安全与软件工厂
7.1定义切合实际的DevSecOps流水线
7.1.1典型代码安全DevSecOps流水线形态
7.1.2选择DevSecOps流水线上的代码安全工具
7.2构建DevSecOps软件工厂
7.2.1典型DevSecOps软件工厂组成结构
7.2.2典型DevSecOps软件工厂生产流水线
7.3集成代码安全工具链
7.3.1SonarQube集成
7.3.2Fortify集成
7.4代码安全运营与管理
7.4.1代码安全检测的关键策略
7.4.2漏洞修复的关键策略
7.4.3代码安全度量指标
7.5小结
第8章组件安全与持续构建
8.1定义安全可信的基础仓库
8.1.1组件依赖仓库周边协作关系
8.1.2组件依赖仓库架构
8.1.3组件仓库技术选型
8.2选择恰当的构建安全工具
8.2.1加壳加固类工具
8.2.2成分分析类工具
8.2.3数字签名类工具
8.2.4安全编译参数
8.3集成构建安全工具链
8.3.1Dependency Check与流水线集成
8.3.2安全编译关键设置与流水线集成8.4组件安全运营与管理
8.4.1统一网络出口和流程管控
8.4.2形成组件更新与迭代机制
8.4.3组件选型收敛和漏洞闭环
8.5小结
第9章安全测试与持续集成
9.1定义不同的安全测试工具组合
9.1.1安全测试工具组合的作用
9.1.2安全测试工具的选择
9.1.3典型安全测试工具组合流程
9.2集成黑盒安全检测工具
9.2.1动态安全检测工具集成特点
9.2.2OWASP ZAP流水线集成与使用
9.2.3Nessus流水线集成与使用
9.3整合安全工具与漏洞运营
9.3.1持续集成中安全工具的整合
9.3.2安全漏洞收敛与度量
9.4小结
第10章基线加固与容器安全
10.1定义基线加固和安全镜像
10.1.1安全基线的选择
10.1.2安全基线和镜像的维护
10.1.3镜像制作与镜像仓库
10.2集成容器安全工具链
10.2.1Trivy容器镜像扫描工具
10.2.2K8s基线检测工具
10.3融入DevSecOps黄金管道
10.3.1Trivy与流水线集成
10.3.2Kube-Bench与流水线集成
10.4小结
第11章基础设施与安全运营
11.1基础设施即代码(IaC)
11.1.1通过配置管理消减基础设施风险
11.1.2遵循基础设施安全最佳实践11.1.3保障IaC自身安全
11.2集成基础设施安全工具链
11.2.1基
展开
