DevSecOps实战
全新正版 极速发货
¥ 57.83 5.8折 ¥ 99 全新
仅1件
广东广州
认证卖家担保交易快速发货售后保障
作者周纪海,周一帆,马松松,陶芬,杨伟强
出版社机械工业
ISBN9787111695653
出版时间2021-12
装帧平装
开本其他
定价99元
货号1202545526
上书时间2024-06-06
商品详情
- 品相描述:全新
- 商品描述
-
作者简介
目录
序<br/>前言<br/>第1章 DevSecOps的演进与落地思考1<br/>1.1 DevOps简介4<br/>1.1.1 DevOps发展简史5<br/>1.1.2 DevOps理念6<br/>1.2 DevSecOps简介7<br/>1.2.1 从DevOps到DevSecOps7<br/>1.2.2 从SDL到DevSecOps11<br/>1.2.3 DevSecOps的指导原则14<br/>1.2.4 DevSecOps实践17<br/>1.3 互联网行业推动DevSecOps的动机与目标 21<br/>1.4 金融行业推动DevSecOps的动机与目标 22<br/>1.5 总结23<br/>第2章 DevSecOps的实施解决方案和体系建设24<br/>2.1 DevSecOps现状调研26<br/>2.1.1 DevSecOps的行业调研26<br/>2.1.2 企业现状调研29<br/>2.2 流程和方法论:敏捷开发与CI/CD34<br/>2.2.1 敏捷开发34<br/>2.2.2 持续集成、持续交付和持续部署40<br/>2.3 技术:工具与自动化41<br/>2.3.1 项目管理工具41<br/>2.3.2 源代码管理工具42<br/>2.3.3 静态代码扫描工具42<br/>2.3.4 静态应用安全测试工具43<br/>2.3.5 持续集成工具44<br/>2.3.6 构建工具44<br/>2.3.7 制品管理工具45<br/>2.3.8 第三方安全扫描工具45<br/>2.3.9 自动化测试工具45<br/>2.3.10 动态安全测试工具46<br/>2.3.11 交互式安全测试工具46<br/>2.3.12 自动化配置/发布工具46<br/>2.3.13 日志分析工具47<br/>2.3.14 监控工具47<br/>2.3.15 DevSecOps工具链48<br/>2.4 文化与组织结构50<br/>2.4.1 DevSecOps的文化和挑战50<br/>2.4.2 DevSecOps的组织结构和角色50<br/>2.5 DevSecOps框架与模型的建立52<br/>2.5.1 DevSecOps的运营模型 52<br/>2.5.2 DevSecOps的实现模型54<br/>2.5.3 DevSecOps的成熟度模型54<br/>2.6 总结56<br/>第3章 DevSecOps转型—从研发入手57<br/>3.1 安全意识和能力提升60<br/>3.1.1 安全意识61<br/>3.1.2 安全能力61<br/>3.1.3 隐私合规63<br/>3.2 安全编码64<br/>3.2.1 默认安全64<br/>3.2.2 安全编码规范64<br/>3.2.3 安全函数库和安全组件65<br/>3.2.4 框架安全65<br/>3.3 源代码管理和安全66<br/>3.3.1 源代码安全管理67<br/>3.3.2 分支策略67<br/>3.3.3 代码评审74<br/>3.4 持续集成75<br/>3.4.1 编译构建和开发环境安全76<br/>3.4.2 持续集成流水线76<br/>3.4.3 安全能力在流水线上的融入78<br/>3.5 代码质量和安全分析79<br/>3.5.1 静态代码质量分析79<br/>3.5.2 静态应用安全测试81<br/>3.5.3 软件成分分析83<br/>3.6 制品管理及安全85<br/>3.7 总结87<br/>第4章 持续测试和安全88<br/>4.1 持续测试—DevOps时代的高效测试之钥90<br/>4.1.1 测试效率面临着巨大挑战91<br/>4.1.2 什么是持续测试92<br/>4.1.3 如何实现持续测试92<br/>4.2 测试执行提效之自动化测试93<br/>4.2.1 分层的自动化测试策略93<br/>4.2.2 单元测试95<br/>4.2.3 接口测试98<br/>4.2.4 UI测试100<br/>4.2.5 其他自动化测试101<br/>4.3 测试执行提效之精准测试101<br/>4.4 测试流程提效:迭代内测试102<br/>4.4.1 持续测试带来流程上的变革要求102<br/>4.4.2 如何实践迭代内测试103<br/>4.5 持续测试下的“左移”和“右移”104<br/>4.5.1 测试左移104<br/>4.5.2 测试右移106<br/>4.5.3 “左移”“右移”不等于“去测试化”107<br/>4.6 应用安全测试左移108<br/>4.6.1 动态应用安全测试108<br/>4.6.2 交互式应用安全测试112<br/>4.7 DevSecOps影响着测试的方方面面116<br/>4.7.1 测试分类116<br/>4.7.2 质量度量118<br/>4.7.3 组织架构120<br/>4.7.4 团队文化121<br/>4.8 总结122<br/>第5章 业务与安全需求管理123<br/>5.1 业务功能需求管理125<br/>5.1.1 需求的收集与筛选126<br/>5.1.2 需求的分析127<br/>5.1.3 需求排期130<br/>5.1.4 需求描述和文档130<br/>5.1.5 需求拆分132<br/>5.1.6 需求评审132<br/>5.1.7 需求状态管理133<br/>5.1.8 需求管理工具134<br/>5.1.9 临时/紧急需求134<br/>5.2 安全需求管理135<br/>5.2.1 需求的安全分类136<br/>5.2.2 需求的安全评审138<br/>5.3 总结143<br/>第6章 进一步左移—设计与架构144<br/>6.1 为什么需要微服务架构147<br/>6.1.1 单体架构的局限性148<br/>6.1.2 微服务架构的优势149<br/>6.1.3 微服务与DevOps的关系149<br/>6.1.4 微服务化的实施路线151<br/>6.2 微服务拆分与设计151<br/>6.2.1 微服务拆分原则151<br/>6.2.2 微服务设计原则152<br/>6.2.3 微服务拆分方法152<br/>6.3 微服务开发与组合:微服务开发框架154<br/>6.3.1 Spring Cloud微服务架构154<br/>6.3.2 Service Mesh微服务架构157<br/>6.4 微服务改造:单体系统重构160<br/>6.4.1 改造策略160<br/>6.4.2 微服务改造的关键要素161<br/>6.4.3 微服务改造的实施步骤161<br/>6.5 安全设计与架构安全162<br/>6.5.1 安全风险评估体系的建立162<br/>6.5.2 项目的分类定义164<br/>6.6 快速检查表的使用166<br/>6.7 完整风险评估—威胁建模169<br/>6.7.1 识别资产170<br/>6.7.2 创建架构设计概览171<br/>6.7.3 分析应用系统171<br/>6.7.4 识别威胁172<br/>6.7.5 记录威胁175<br/>6.7.6 威胁评级176<br/>6.7.7 威胁建模的工具与自动化180<br/>6.8 合规性检查184<br/>6.9 总结186<br/>第7章 DevSecOps运维和线上运营187<br/>7.1 配置和环境管理189<br/>7.1.1 基础设施即代码190<br/>7.1.2 配置的安全管理原则191<br/>7.1.3 安全的计算环境192<br/>7.2 发布部署策略193<br/>7.3 持续监控和安全195<br/>7.3.1 业务和应用层级的持续监控196<br/>7.3.2 安全监控197<br/>7.3.3 统一监控平台的建立198<br/>7.4 日志分析198<br/>7.4.1 日志管理的挑战199<br/>7.4.2 日志平台建设199<br/>7.4.3 日志的安全200<br/>7.5 事件响应与业务的连续性202<br/>7.5.1 信息安全应急响应机制202<br/>7.5.2 业务的连续性206<br/>7.6 身份认证和访问控制208<br/>7.6.1 身份认证与访问控制的方式及对应问题208<br/>7.6.2 统一的身份认证与访问管理214<br/>7.7 数据管理和安全216<br/>7.7.1 数据本身的安全216<br/>7.7.2 数据的安全防护218<br/>7.7.3 大数据安全220<br/>7.7.4 数据治理与合规222<br/>7.8 安全众测225<br/>7.9 红蓝对抗227<br/>7.10 DevOps平台的安全229<br/>7.11 RASP230<br/>7.11.1 RASP和WAF231<br/>7.11.2 RASP的工作原理和特点232<br/>7.11.3 RASP技术面临的挑战233<br/>7.12 总结234<br/>第8章 DevSecOps度量体系建设236<br/>8.1 持续反馈和度量驱动238<br/>8.2 度量指标的定义与成熟度模型240<br/>8.2.1 度量的指标241<br/>8.2.2 成熟度模型245<br/>8.3 度量平台的建立、安全管控和可视化248<br/>8.4 度量实践常见的问题和误区250<br/>8.5 实践中如何正确使用度量251<br/>8.6 研发效能度量实践254<br/>8.7 总结257<br/>第9章 云原生场景下的DevSecOps应用258<br/>9.1 云原生带来的新变化260<br/>9.1.1 云原生的DevOps新变化260<br/>9.1.2 云原生面临的新安全风险262<br/>9.1.3 云原生带来的新安全需求265<br/>9.2 云原生DevSecOps实施流程266<br/>9.2.1 开发阶段的安全266<br/>9.2.2 分发阶段的安全267<br/>9.2.3 部署阶段的安全270<br/>9.2.4 运行时阶段的安全271<br/>9.3 云原生DevSecOps相关安全工具274<br/>9.3.1 云原生安全开源工具274<br/>9.3.2 云原生安全商业产品276<br/>9.3.3 云原生DevSecOps实践框架277<br/>9.4 云原生DevSecOps的落地应用和演进趋势278<br/>9.5 总结281<br/>后记282<br/>参考文献285
内容摘要
本书通过描述一家大型互联网企业和一家大型传统银行的DevSecOps转型的过程,帮助读者浅显易懂并且有代入感地了解如何将DevSecOps在企业内部落地和实践。基于各类行业特点的DevSecOps实施与落地方法,是本书的主要技术要点。
— 没有更多了 —
以下为对购买帮助不大的评价