DevSecOps實(shí)戰(zhàn)

序
前言
第1章　DevSecOps的演進(jìn)與落地思考1
1.1　DevOps簡(jiǎn)介4
1.1.1　DevOps發(fā)展簡(jiǎn)史5
1.1.2　DevOps理念6
1.2　DevSecOps簡(jiǎn)介7
1.2.1　從DevOps到DevSecOps7
1.2.2　從SDL到DevSecOps11
1.2.3　DevSecOps的指導(dǎo)原則14
1.2.4　DevSecOps實(shí)踐17
1.3　互聯(lián)網(wǎng)行業(yè)推動(dòng)DevSecOps的動(dòng)機(jī)與目標(biāo) 21
1.4　金融行業(yè)推動(dòng)DevSecOps的動(dòng)機(jī)與目標(biāo) 22
1.5　總結(jié)23
第2章　DevSecOps的實(shí)施解決方案和體系建設(shè)24
2.1　DevSecOps現(xiàn)狀調(diào)研26
2.1.1　DevSecOps的行業(yè)調(diào)研26
2.1.2　企業(yè)現(xiàn)狀調(diào)研29
2.2　流程和方法論：敏捷開發(fā)與CI/CD34
2.2.1　敏捷開發(fā)34
2.2.2　持續(xù)集成、持續(xù)交付和持續(xù)部署40
2.3　技術(shù)：工具與自動(dòng)化41
2.3.1　項(xiàng)目管理工具41
2.3.2　源代碼管理工具42
2.3.3　靜態(tài)代碼掃描工具42
2.3.4　靜態(tài)應(yīng)用安全測(cè)試工具43
2.3.5　持續(xù)集成工具44
2.3.6　構(gòu)建工具44
2.3.7　制品管理工具45
2.3.8　第三方安全掃描工具45
2.3.9　自動(dòng)化測(cè)試工具45
2.3.10　動(dòng)態(tài)安全測(cè)試工具46
2.3.11　交互式安全測(cè)試工具46
2.3.12　自動(dòng)化配置/發(fā)布工具46
2.3.13　日志分析工具47
2.3.14　監(jiān)控工具47
2.3.15　DevSecOps工具鏈48
2.4　文化與組織結(jié)構(gòu)50
2.4.1　DevSecOps的文化和挑戰(zhàn)50
2.4.2　DevSecOps的組織結(jié)構(gòu)和角色50
2.5　DevSecOps框架與模型的建立52
2.5.1　DevSecOps的運(yùn)營(yíng)模型 52
2.5.2　DevSecOps的實(shí)現(xiàn)模型54
2.5.3　DevSecOps的成熟度模型54
2.6　總結(jié)56
第3章　DevSecOps轉(zhuǎn)型—從研發(fā)入手57
3.1　安全意識(shí)和能力提升60
3.1.1　安全意識(shí)61
3.1.2　安全能力61
3.1.3　隱私合規(guī)63
3.2　安全編碼64
3.2.1　默認(rèn)安全64
3.2.2　安全編碼規(guī)范64
3.2.3　安全函數(shù)庫(kù)和安全組件65
3.2.4　框架安全65
3.3　源代碼管理和安全66
3.3.1　源代碼安全管理67
3.3.2　分支策略67
3.3.3　代碼評(píng)審74
3.4　持續(xù)集成75
3.4.1　編譯構(gòu)建和開發(fā)環(huán)境安全76
3.4.2　持續(xù)集成流水線76
3.4.3　安全能力在流水線上的融入78
3.5　代碼質(zhì)量和安全分析79
3.5.1　靜態(tài)代碼質(zhì)量分析79
3.5.2　靜態(tài)應(yīng)用安全測(cè)試81
3.5.3　軟件成分分析83
3.6　制品管理及安全85
3.7　總結(jié)87
第4章　持續(xù)測(cè)試和安全88
4.1　持續(xù)測(cè)試—DevOps時(shí)代的高效測(cè)試之鑰90
4.1.1　測(cè)試效率面臨著巨大挑戰(zhàn)91
4.1.2　什么是持續(xù)測(cè)試92
4.1.3　如何實(shí)現(xiàn)持續(xù)測(cè)試92
4.2　測(cè)試執(zhí)行提效之自動(dòng)化測(cè)試93
4.2.1　分層的自動(dòng)化測(cè)試策略93
4.2.2　單元測(cè)試95
4.2.3　接口測(cè)試98
4.2.4　UI測(cè)試100
4.2.5　其他自動(dòng)化測(cè)試101
4.3　測(cè)試執(zhí)行提效之精準(zhǔn)測(cè)試101
4.4　測(cè)試流程提效：迭代內(nèi)測(cè)試102
4.4.1　持續(xù)測(cè)試帶來(lái)流程上的變革要求102
4.4.2　如何實(shí)踐迭代內(nèi)測(cè)試103
4.5　持續(xù)測(cè)試下的“左移”和“右移”104
4.5.1　測(cè)試左移104
4.5.2　測(cè)試右移106
4.5.3　“左移”“右移”不等于“去測(cè)試化”107
4.6　應(yīng)用安全測(cè)試左移108
4.6.1　動(dòng)態(tài)應(yīng)用安全測(cè)試108
4.6.2　交互式應(yīng)用安全測(cè)試112
4.7　DevSecOps影響著測(cè)試的方方面面116
4.7.1　測(cè)試分類116
4.7.2　質(zhì)量度量118
4.7.3　組織架構(gòu)120
4.7.4　團(tuán)隊(duì)文化121
4.8　總結(jié)122
第5章　業(yè)務(wù)與安全需求管理123
5.1　業(yè)務(wù)功能需求管理125
5.1.1　需求的收集與篩選126
5.1.2　需求的分析127
5.1.3　需求排期130
5.1.4　需求描述和文檔130
5.1.5　需求拆分132
5.1.6　需求評(píng)審132
5.1.7　需求狀態(tài)管理133
5.1.8　需求管理工具134
5.1.9　臨時(shí)/緊急需求134
5.2　安全需求管理135
5.2.1　需求的安全分類136
5.2.2　需求的安全評(píng)審138
5.3　總結(jié)143
第6章　進(jìn)一步左移—設(shè)計(jì)與架構(gòu)144
6.1　為什么需要微服務(wù)架構(gòu)147
6.1.1　單體架構(gòu)的局限性148
6.1.2　微服務(wù)架構(gòu)的優(yōu)勢(shì)149
6.1.3　微服務(wù)與DevOps的關(guān)系149
6.1.4　微服務(wù)化的實(shí)施路線151
6.2　微服務(wù)拆分與設(shè)計(jì)151
6.2.1　微服務(wù)拆分原則151
6.2.2　微服務(wù)設(shè)計(jì)原則152
6.2.3　微服務(wù)拆分方法152
6.3　微服務(wù)開發(fā)與組合：微服務(wù)開發(fā)框架154
6.3.1　Spring Cloud微服務(wù)架構(gòu)154
6.3.2　Service Mesh微服務(wù)架構(gòu)157
6.4　微服務(wù)改造：?jiǎn)误w系統(tǒng)重構(gòu)160
6.4.1　改造策略160
6.4.2　微服務(wù)改造的關(guān)鍵要素161
6.4.3　微服務(wù)改造的實(shí)施步驟161
6.5　安全設(shè)計(jì)與架構(gòu)安全162
6.5.1　安全風(fēng)險(xiǎn)評(píng)估體系的建立162
6.5.2　項(xiàng)目的分類定義164
6.6　快速檢查表的使用166
6.7　完整風(fēng)險(xiǎn)評(píng)估—威脅建模169
6.7.1　識(shí)別資產(chǎn)170
6.7.2　創(chuàng)建架構(gòu)設(shè)計(jì)概覽171
6.7.3　分析應(yīng)用系統(tǒng)171
6.7.4　識(shí)別威脅172
6.7.5　記錄威脅175
......