DevSecOps原理、核心技術(shù)與實(shí)戰(zhàn)

序
前言
第1部分DevSecOps體系概要
第1章什么是真正的DevSecOps
1.1DevSecOps定義
1.1.1DevSecOps的基本概念
1.1.2DevSecOps的核心理念
1.1.3DevSecOps的重要組成
1.2DevSecOps發(fā)展歷史
1.2.1DevSecOps發(fā)展關(guān)鍵里程碑
1.2.2影響DevSecOps發(fā)展的關(guān)鍵因素
1.2.3DevSecOps未來的發(fā)展趨勢
1.3DevSecOps參考模型
1.3.1DevOps組織型模型
1.3.2Gartner普適性模型
1.3.3DoD實(shí)踐型模型
1.4DevSecOps核心流程
1.4.1DevSecOps核心流程基本組成
1.4.2DevSecOps核心流程典型場景
1.5小結(jié)
第2章DevSecOps體系管理
2.1DevSecOps成熟度模型
2.1.1GSA DevSecOps成熟度模型
2.1.2OWASP DevSecOps成熟度模型2.2DevSecOps度量指標(biāo)
2.2.1指標(biāo)概覽
2.2.2必選指標(biāo)
2.2.3可選指標(biāo)
2.3DevSecOps建設(shè)規(guī)劃
2.3.1實(shí)際可達(dá)的演化路徑
2.3.2中小型企業(yè)DevSecOps建設(shè)
2.3.3大中型企業(yè)DevSecOps建設(shè)
2.4小結(jié)
第2部分DevSecOps平臺架構(gòu)及其組件
第3章DevSecOps平臺架構(gòu)
3.1DevSecOps平臺需求
3.1.1為什么要開展DevSecOps平臺建設(shè)
3.1.2DevSecOps平臺建設(shè)需求來源
3.2DevSecOps平臺架構(gòu)組成
3.3實(shí)驗(yàn)級DevSecOps學(xué)習(xí)平臺
3.3.1DevSecOps Studio平臺架構(gòu)及組件
3.3.2DevSecOps Studio安裝與基本使用
3.4企業(yè)級DevSecOps平臺架構(gòu)
3.4.1微軟云Azure DevSecOps平臺架構(gòu)
3.4.2亞馬遜云AWS DevSecOps平臺架構(gòu)
3.4.3互聯(lián)網(wǎng)企業(yè)私有化DevSecOps平臺典型架構(gòu)
3.5小結(jié)
第4章持續(xù)集成與版本控制
4.1持續(xù)集成與版本控制相關(guān)概念
4.1.1持續(xù)集成基本概念
4.1.2版本控制基本概念
4.1.3其他基本概念
4.2持續(xù)集成流程主要系統(tǒng)構(gòu)成
4.2.1版本控制系統(tǒng)
4.2.2編譯構(gòu)建系統(tǒng)
4.2.3編排調(diào)度系統(tǒng)
4.2.4其他相關(guān)系統(tǒng)4.3持續(xù)集成流水線
4.3.1典型操作流程和使用場景
4.3.2基于GitHub的持續(xù)集成流水線
4.3.3基于JenkinsGitLab CI的持續(xù)集成流水線
4.4小結(jié)
第5章持續(xù)交付與持續(xù)部署
5.1持續(xù)交付與持續(xù)部署相關(guān)概念
5.1.1持續(xù)交付基本概念
5.1.2持續(xù)部署基本概念
5.1.3其他相關(guān)概念
5.2持續(xù)交付持續(xù)部署流程主要系統(tǒng)構(gòu)成
5.2.1鏡像容器管理系統(tǒng)
5.2.2配置管理系統(tǒng)
5.2.3運(yùn)維發(fā)布管理系統(tǒng)
5.3持續(xù)交付持續(xù)部署流水線
5.3.1典型操作流程和使用場景
5.3.2基于GitHub Docker的持續(xù)交付持續(xù)部署流水線
5.3.3基于Jenkins Docker K8s的持續(xù)交付持續(xù)部署流水線
5.4小結(jié)
第6章安全工具鏈及其周邊生態(tài)
6.1安全工具鏈在平臺中的定位
6.1.1分層定位
6.1.2集成概覽
6.2安全工具鏈分類
6.2.1威脅建模類
6.2.2靜態(tài)安全檢測類
6.2.3動態(tài)安全檢測類
6.2.4交互式安全檢測類
6.2.5運(yùn)行時(shí)應(yīng)用自我保護(hù)類
6.3主流安全工具簡介
6.3.1Fortify代碼安全檢測
6.3.2Checkmarx代碼安全檢測
6.3.3AWVS漏洞安全檢測
6.3.4Nessus漏洞安全檢測
6.3.5OpenRASP運(yùn)行時(shí)安全防護(hù)6.3.6DongTai交互式漏洞安全檢測
6.3.7WAF應(yīng)用程序防火墻
6.4典型周邊生態(tài)系統(tǒng)
6.5小結(jié)
第3部分DevSecOps流水線及落地實(shí)踐
第7章代碼安全與軟件工廠
7.1定義切合實(shí)際的DevSecOps流水線
7.1.1典型代碼安全DevSecOps流水線形態(tài)
7.1.2選擇DevSecOps流水線上的代碼安全工具
7.2構(gòu)建DevSecOps軟件工廠
7.2.1典型DevSecOps軟件工廠組成結(jié)構(gòu)
7.2.2典型DevSecOps軟件工廠生產(chǎn)流水線
7.3集成代碼安全工具鏈
7.3.1SonarQube集成
7.3.2Fortify集成
7.4代碼安全運(yùn)營與管理
7.4.1代碼安全檢測的關(guān)鍵策略
7.4.2漏洞修復(fù)的關(guān)鍵策略
7.4.3代碼安全度量指標(biāo)
7.5小結(jié)
第8章組件安全與持續(xù)構(gòu)建
8.1定義安全可信的基礎(chǔ)倉庫
8.1.1組件依賴倉庫周邊協(xié)作關(guān)系
8.1.2組件依賴倉庫架構(gòu)
8.1.3組件倉庫技術(shù)選型
8.2選擇恰當(dāng)?shù)臉?gòu)建安全工具
8.2.1加殼加固類工具
8.2.2成分分析類工具
8.2.3數(shù)字簽名類工具
8.2.4安全編譯參數(shù)
8.3集成構(gòu)建安全工具鏈
8.3.1Dependency Check與流水線集成
8.3.2安全編譯關(guān)鍵設(shè)置與流水線集成8.4組件安全運(yùn)營與管理
8.4.1統(tǒng)一網(wǎng)絡(luò)出口和流程管控
8.4.2形成組件更新與迭代機(jī)制
8.4.3組件選型收斂和漏洞閉環(huán)
8.5小結(jié)
第9章安全測試與持續(xù)集成
9.1定義不同的安全測試工具組合
9.1.1安全測試工具組合的作用
9.1.2安全測試工具的選擇
9.1.3典型安全測試工具組合流程
9.2集成黑盒安全檢測工具
9.2.1動態(tài)安全檢測工具集成特點(diǎn)
9.2.2OWASP ZAP流水線集成與使用
9.2.3Nessus流水線集成與使用
9.3整合安全工具與漏洞運(yùn)營
9.3.1持續(xù)集成中安全工具的整合
9.3.2安全漏洞收斂與度量
9.4小結(jié)
第10章基線加固與容器安全
10.1定義基線加固和安全鏡像
10.1.1安全基線的選擇
10.1.2安全基線和鏡像的維護(hù)
10.1.3鏡像制作與鏡像倉庫
10.2集成容器安全工具鏈
10.2.1Trivy容器鏡像掃描工具
10.2.2K8s基線檢測工具
10.3融入DevSecOps黃金管道
10.3.1Trivy與流水線集成
10.3.2Kube-Bench與流水線集成
10.4小結(jié)
第11章基礎(chǔ)設(shè)施與安全運(yùn)營
11.1基礎(chǔ)設(shè)施即代碼（IaC）
11.1.1通過配置管理消減基礎(chǔ)設(shè)施風(fēng)險(xiǎn)
11.1.2遵循基礎(chǔ)設(shè)施安全實(shí)踐11.1.3保障IaC自身安全
11.2集成基礎(chǔ)設(shè)施安全工具鏈
11.2.1基