DevSecOps原理、核心技術與實戰(zhàn)

序
前言
第1部分DevSecOps體系概要
第1章什么是真正的DevSecOps
1.1DevSecOps定義
1.1.1DevSecOps的基本概念
1.1.2DevSecOps的核心理念
1.1.3DevSecOps的重要組成
1.2DevSecOps發(fā)展歷史
1.2.1DevSecOps發(fā)展關鍵里程碑
1.2.2影響DevSecOps發(fā)展的關鍵因素
1.2.3DevSecOps未來的發(fā)展趨勢
1.3DevSecOps參考模型
1.3.1DevOps組織型模型
1.3.2Gartner普適性模型
1.3.3DoD實踐型模型
1.4DevSecOps核心流程
1.4.1DevSecOps核心流程基本組成
1.4.2DevSecOps核心流程典型場景
1.5小結
第2章DevSecOps體系管理
2.1DevSecOps成熟度模型
2.1.1GSA DevSecOps成熟度模型
2.1.2OWASP DevSecOps成熟度模型2.2DevSecOps度量指標
2.2.1指標概覽
2.2.2必選指標
2.2.3可選指標
2.3DevSecOps建設規(guī)劃
2.3.1實際可達的演化路徑
2.3.2中小型企業(yè)DevSecOps建設
2.3.3大中型企業(yè)DevSecOps建設
2.4小結
第2部分DevSecOps平臺架構及其組件
第3章DevSecOps平臺架構
3.1DevSecOps平臺需求
3.1.1為什么要開展DevSecOps平臺建設
3.1.2DevSecOps平臺建設需求來源
3.2DevSecOps平臺架構組成
3.3實驗級DevSecOps學習平臺
3.3.1DevSecOps Studio平臺架構及組件
3.3.2DevSecOps Studio安裝與基本使用
3.4企業(yè)級DevSecOps平臺架構
3.4.1微軟云Azure DevSecOps平臺架構
3.4.2亞馬遜云AWS DevSecOps平臺架構
3.4.3互聯(lián)網(wǎng)企業(yè)私有化DevSecOps平臺典型架構
3.5小結
第4章持續(xù)集成與版本控制
4.1持續(xù)集成與版本控制相關概念
4.1.1持續(xù)集成基本概念
4.1.2版本控制基本概念
4.1.3其他基本概念
4.2持續(xù)集成流程主要系統(tǒng)構成
4.2.1版本控制系統(tǒng)
4.2.2編譯構建系統(tǒng)
4.2.3編排調度系統(tǒng)
4.2.4其他相關系統(tǒng)4.3持續(xù)集成流水線
4.3.1典型操作流程和使用場景
4.3.2基于GitHub的持續(xù)集成流水線
4.3.3基于JenkinsGitLab CI的持續(xù)集成流水線
4.4小結
第5章持續(xù)交付與持續(xù)部署
5.1持續(xù)交付與持續(xù)部署相關概念
5.1.1持續(xù)交付基本概念
5.1.2持續(xù)部署基本概念
5.1.3其他相關概念
5.2持續(xù)交付持續(xù)部署流程主要系統(tǒng)構成
5.2.1鏡像容器管理系統(tǒng)
5.2.2配置管理系統(tǒng)
5.2.3運維發(fā)布管理系統(tǒng)
5.3持續(xù)交付持續(xù)部署流水線
5.3.1典型操作流程和使用場景
5.3.2基于GitHub Docker的持續(xù)交付持續(xù)部署流水線
5.3.3基于Jenkins Docker K8s的持續(xù)交付持續(xù)部署流水線
5.4小結
第6章安全工具鏈及其周邊生態(tài)
6.1安全工具鏈在平臺中的定位
6.1.1分層定位
6.1.2集成概覽
6.2安全工具鏈分類
6.2.1威脅建模類
6.2.2靜態(tài)安全檢測類
6.2.3動態(tài)安全檢測類
6.2.4交互式安全檢測類
6.2.5運行時應用自我保護類
6.3主流安全工具簡介
6.3.1Fortify代碼安全檢測
6.3.2Checkmarx代碼安全檢測
6.3.3AWVS漏洞安全檢測
6.3.4Nessus漏洞安全檢測
6.3.5OpenRASP運行時安全防護6.3.6DongTai交互式漏洞安全檢測
6.3.7WAF應用程序防火墻
6.4典型周邊生態(tài)系統(tǒng)
6.5小結
第3部分DevSecOps流水線及落地實踐
第7章代碼安全與軟件工廠
7.1定義切合實際的DevSecOps流水線
7.1.1典型代碼安全DevSecOps流水線形態(tài)
7.1.2選擇DevSecOps流水線上的代碼安全工具
7.2構建DevSecOps軟件工廠
7.2.1典型DevSecOps軟件工廠組成結構
7.2.2典型DevSecOps軟件工廠生產(chǎn)流水線
7.3集成代碼安全工具鏈
7.3.1SonarQube集成
7.3.2Fortify集成
7.4代碼安全運營與管理
7.4.1代碼安全檢測的關鍵策略
7.4.2漏洞修復的關鍵策略
7.4.3代碼安全度量指標
7.5小結
第8章組件安全與持續(xù)構建
8.1定義安全可信的基礎倉庫
8.1.1組件依賴倉庫周邊協(xié)作關系
8.1.2組件依賴倉庫架構
8.1.3組件倉庫技術選型
8.2選擇恰當?shù)臉嫿ò踩ぞ?br />8.2.1加殼加固類工具
8.2.2成分分析類工具
8.2.3數(shù)字簽名類工具
8.2.4安全編譯參數(shù)
8.3集成構建安全工具鏈
8.3.1Dependency Check與流水線集成
8.3.2安全編譯關鍵設置與流水線集成8.4組件安全運營與管理
8.4.1統(tǒng)一網(wǎng)絡出口和流程管控
8.4.2形成組件更新與迭代機制
8.4.3組件選型收斂和漏洞閉環(huán)
8.5小結
第9章安全測試與持續(xù)集成
9.1定義不同的安全測試工具組合
9.1.1安全測試工具組合的作用
9.1.2安全測試工具的選擇
9.1.3典型安全測試工具組合流程
9.2集成黑盒安全檢測工具
9.2.1動態(tài)安全檢測工具集成特點
9.2.2OWASP ZAP流水線集成與使用
9.2.3Nessus流水線集成與使用
9.3整合安全工具與漏洞運營
9.3.1持續(xù)集成中安全工具的整合
9.3.2安全漏洞收斂與度量
9.4小結
第10章基線加固與容器安全
10.1定義基線加固和安全鏡像
10.1.1安全基線的選擇
10.1.2安全基線和鏡像的維護
10.1.3鏡像制作與鏡像倉庫
10.2集成容器安全工具鏈
10.2.1Trivy容器鏡像掃描工具
10.2.2K8s基線檢測工具
10.3融入DevSecOps黃金管道
10.3.1Trivy與流水線集成
10.3.2Kube-Bench與流水線集成
10.4小結
第11章基礎設施與安全運營
11.1基礎設施即代碼（IaC）
11.1.1通過配置管理消減基礎設施風險
11.1.2遵循基礎設施安全實踐11.1.3保障IaC自身安全
11.2集成基礎設施安全工具鏈
11.2.1基