DevSecOps实战

作品简介

本书通过描述一家大型互联网企业和一家大型传统银行的DevSecOps转型的过程，帮助读者浅显易懂并且有代入感地了解如何将DevSecOps在企业内部落地和实践。基于各类行业特点的DevSecOps实施与落地方法，是本书的主要技术要点。

周纪海，英国伦敦帝国理工学院博士，拥有10年以上多家国际大型银行（巴克莱银行、汇丰银行等）和腾讯的DevOps/DevSecOps转型和落地的工作经验。从2018-2021年，在国内外30多个技术峰会、论坛和社区上分享过DevOps和DevSecOps经验。

周一帆，汇丰科技中国高级信息安全分析师、注册信息安全工程师、云安全工程师。在中国和新加坡拥有多年的金融科技与信息安全行业工作经验。目前主要从事应用系统架构安全审查、安全风险评估和DevSecOps的实施与落地工作。

马松松，腾讯安全专家，拥有13年基础安全领域的工作经验。目前团队主要负责研发漏洞管控相关的规范、流程以及自动化系统的建设和运营工作。自2019年开始关注和推动DevSecOps在腾讯内部的探索和落地。

陶芬，武汉大学信息安全专业硕士，在国内大型互联网公司百度工作十余年，负责企业内DevSecOps落地和数据安全能力建设以及运营实践。

杨伟强，汇丰科技中国信息安全部门总负责人，在大型跨国金融信息安全领域工作15年，主要研究方向包括安全开发、安全架构以及威胁建模等。

作品目录

• 作者简介
• 序
• 前言
• 第1章　DevSecOps的演进与落地思考
• 1.1　DevOps简介
• 1.2　DevSecOps简介
• 1.3　互联网行业推动DevSecOps的动机与目标
• 1.4　金融行业推动DevSecOps的动机与目标
• 1.5　总结
• 第2章　DevSecOps的实施解决方案和体系建设
• 2.1　DevSecOps现状调研
• 2.2　流程和方法论：敏捷开发与CI/CD
• 2.3　技术：工具与自动化
• 2.4　文化与组织结构
• 2.5　DevSecOps框架与模型的建立
• 2.6　总结
• 第3章　DevSecOps转型——从研发入手
• 3.1　安全意识和能力提升
• 3.2　安全编码
• 3.3　源代码管理和安全
• 3.4　持续集成
• 3.5　代码质量和安全分析
• 3.6　制品管理及安全
• 3.7　总结
• 第4章　持续测试和安全
• 4.1　持续测试——DevOps时代的高效测试之钥
• 4.2　测试执行提效之自动化测试
• 4.3　测试执行提效之精准测试
• 4.4　测试流程提效：迭代内测试
• 4.5　持续测试下的“左移”和“右移”
• 4.6　应用安全测试左移
• 4.7　DevSecOps影响着测试的方方面面
• 4.8　总结
• 第5章　业务与安全需求管理
• 5.1　业务功能需求管理
• 5.2　安全需求管理
• 5.3　总结
• 第6章　进一步左移——设计与架构
• 6.1　为什么需要微服务架构
• 6.2　微服务拆分与设计
• 6.3　微服务开发与组合：微服务开发框架
• 6.4　微服务改造：单体系统重构
• 6.5　安全设计与架构安全
• 6.6　快速检查表的使用
• 6.7　完整风险评估——威胁建模
• 6.8　合规性检查
• 6.9　总结
• 第7章　DevSecOps运维和线上运营
• 7.1　配置和环境管理
• 7.2　发布部署策略
• 7.3　持续监控和安全
• 7.4　日志分析
• 7.5　事件响应与业务的连续性
• 7.6　身份认证和访问控制
• 7.7　数据管理和安全
• 7.8　安全众测
• 7.9　红蓝对抗
• 7.10　DevOps平台的安全
• 7.11　RASP
• 7.12　总结
• 第8章　DevSecOps度量体系建设
• 8.1　持续反馈和度量驱动
• 8.2　度量指标的定义与成熟度模型
• 8.3　度量平台的建立、安全管控和可视化
• 8.4　度量实践常见的问题和误区
• 8.5　实践中如何正确使用度量
• 8.6　研发效能度量实践
• 8.7　总结
• 第9章　云原生场景下的DevSecOps应用
• 9.1　云原生带来的新变化
• 9.2　云原生DevSecOps实施流程
• 9.3　云原生DevSecOps相关安全工具
• 9.4　云原生DevSecOps的落地应用和演进趋势
• 9.5　总结
• 后记
• 参考文献