DevSecOps實戰(zhàn)

序
前言
第1章　DevSecOps的演進(jìn)與落地思考1
1.1　DevOps簡介4
1.1.1　DevOps發(fā)展簡史5
1.1.2　DevOps理念6
1.2　DevSecOps簡介7
1.2.1　從DevOps到DevSecOps7
1.2.2　從SDL到DevSecOps11
1.2.3　DevSecOps的指導(dǎo)原則14
1.2.4　DevSecOps實踐17
1.3　互聯(lián)網(wǎng)行業(yè)推動DevSecOps的動機(jī)與目標(biāo) 21
1.4　金融行業(yè)推動DevSecOps的動機(jī)與目標(biāo) 22
1.5　總結(jié)23
第2章　DevSecOps的實施解決方案和體系建設(shè)24
2.1　DevSecOps現(xiàn)狀調(diào)研26
2.1.1　DevSecOps的行業(yè)調(diào)研26
2.1.2　企業(yè)現(xiàn)狀調(diào)研29
2.2　流程和方法論：敏捷開發(fā)與CI/CD34
2.2.1　敏捷開發(fā)34
2.2.2　持續(xù)集成、持續(xù)交付和持續(xù)部署40
2.3　技術(shù)：工具與自動化41
2.3.1　項目管理工具41
2.3.2　源代碼管理工具42
2.3.3　靜態(tài)代碼掃描工具42
2.3.4　靜態(tài)應(yīng)用安全測試工具43
2.3.5　持續(xù)集成工具44
2.3.6　構(gòu)建工具44
2.3.7　制品管理工具45
2.3.8　第三方安全掃描工具45
2.3.9　自動化測試工具45
2.3.10　動態(tài)安全測試工具46
2.3.11　交互式安全測試工具46
2.3.12　自動化配置/發(fā)布工具46
2.3.13　日志分析工具47
2.3.14　監(jiān)控工具47
2.3.15　DevSecOps工具鏈48
2.4　文化與組織結(jié)構(gòu)50
2.4.1　DevSecOps的文化和挑戰(zhàn)50
2.4.2　DevSecOps的組織結(jié)構(gòu)和角色50
2.5　DevSecOps框架與模型的建立52
2.5.1　DevSecOps的運(yùn)營模型 52
2.5.2　DevSecOps的實現(xiàn)模型54
2.5.3　DevSecOps的成熟度模型54
2.6　總結(jié)56
第3章　DevSecOps轉(zhuǎn)型—從研發(fā)入手57
3.1　安全意識和能力提升60
3.1.1　安全意識61
3.1.2　安全能力61
3.1.3　隱私合規(guī)63
3.2　安全編碼64
3.2.1　默認(rèn)安全64
3.2.2　安全編碼規(guī)范64
3.2.3　安全函數(shù)庫和安全組件65
3.2.4　框架安全65
3.3　源代碼管理和安全66
3.3.1　源代碼安全管理67
3.3.2　分支策略67
3.3.3　代碼評審74
3.4　持續(xù)集成75
3.4.1　編譯構(gòu)建和開發(fā)環(huán)境安全76
3.4.2　持續(xù)集成流水線76
3.4.3　安全能力在流水線上的融入78
3.5　代碼質(zhì)量和安全分析79
3.5.1　靜態(tài)代碼質(zhì)量分析79
3.5.2　靜態(tài)應(yīng)用安全測試81
3.5.3　軟件成分分析83
3.6　制品管理及安全85
3.7　總結(jié)87
第4章　持續(xù)測試和安全88
4.1　持續(xù)測試—DevOps時代的高效測試之鑰90
4.1.1　測試效率面臨著巨大挑戰(zhàn)91
4.1.2　什么是持續(xù)測試92
4.1.3　如何實現(xiàn)持續(xù)測試92
4.2　測試執(zhí)行提效之自動化測試93
4.2.1　分層的自動化測試策略93
4.2.2　單元測試95
4.2.3　接口測試98
4.2.4　UI測試100
4.2.5　其他自動化測試101
4.3　測試執(zhí)行提效之精準(zhǔn)測試101
4.4　測試流程提效：迭代內(nèi)測試102
4.4.1　持續(xù)測試帶來流程上的變革要求102
4.4.2　如何實踐迭代內(nèi)測試103
4.5　持續(xù)測試下的“左移”和“右移”104
4.5.1　測試左移104
4.5.2　測試右移106
4.5.3　“左移”“右移”不等于“去測試化”107
4.6　應(yīng)用安全測試左移108
4.6.1　動態(tài)應(yīng)用安全測試108
4.6.2　交互式應(yīng)用安全測試112
4.7　DevSecOps影響著測試的方方面面116
4.7.1　測試分類116
4.7.2　質(zhì)量度量118
4.7.3　組織架構(gòu)120
4.7.4　團(tuán)隊文化121
4.8　總結(jié)122
第5章　業(yè)務(wù)與安全需求管理123
5.1　業(yè)務(wù)功能需求管理125
5.1.1　需求的收集與篩選126
5.1.2　需求的分析127
5.1.3　需求排期130
5.1.4　需求描述和文檔130
5.1.5　需求拆分132
5.1.6　需求評審132
5.1.7　需求狀態(tài)管理133
5.1.8　需求管理工具134
5.1.9　臨時/緊急需求134
5.2　安全需求管理135
5.2.1　需求的安全分類136
5.2.2　需求的安全評審138
5.3　總結(jié)143
第6章　進(jìn)一步左移—設(shè)計與架構(gòu)144
6.1　為什么需要微服務(wù)架構(gòu)147
6.1.1　單體架構(gòu)的局限性148
6.1.2　微服務(wù)架構(gòu)的優(yōu)勢149
6.1.3　微服務(wù)與DevOps的關(guān)系149
6.1.4　微服務(wù)化的實施路線151
6.2　微服務(wù)拆分與設(shè)計151
6.2.1　微服務(wù)拆分原則151
6.2.2　微服務(wù)設(shè)計原則152
6.2.3　微服務(wù)拆分方法152
6.3　微服務(wù)開發(fā)與組合：微服務(wù)開發(fā)框架154
6.3.1　Spring Cloud微服務(wù)架構(gòu)154
6.3.2　Service Mesh微服務(wù)架構(gòu)157
6.4　微服務(wù)改造：單體系統(tǒng)重構(gòu)160
6.4.1　改造策略160
6.4.2　微服務(wù)改造的關(guān)鍵要素161
6.4.3　微服務(wù)改造的實施步驟161
6.5　安全設(shè)計與架構(gòu)安全162
6.5.1　安全風(fēng)險評估體系的建立162
6.5.2　項目的分類定義164
6.6　快速檢查表的使用166
6.7　完整風(fēng)險評估—威脅建模169
6.7.1　識別資產(chǎn)170
6.7.2　創(chuàng)建架構(gòu)設(shè)計概覽171
6.7.3　分析應(yīng)用系統(tǒng)171
6.7.4　識別威脅172
6.7.5　記錄威脅175
......