DevSecOps实战

本书通过描述一家大型互联网企业和一家大型传统银行的DevSecOps转型的过程，帮助读者浅显易懂并且有代入感地了解如何将DevSecOps在企业内部落地和实践。基于各类行业特点的DevSecOps实施与落地方法，是本书的主要技术要点。

序前言第1章  DevSecOps的演进与落地思考11.1  DevOps简介41.1.1  DevOps发展简史51.1.2  DevOps理念61.2  DevSecOps简介71.2.1  从DevOps到DevSecOps71.2.2  从SDL到DevSecOps111.2.3  DevSecOps的指导原则141.2.4  DevSecOps实践171.3  互联网行业推动DevSecOps的动机与目标 211.4  金融行业推动DevSecOps的动机与目标 221.5  总结23第2章  DevSecOps的实施解决方案和体系建设242.1  DevSecOps现状调研262.1.1  DevSecOps的行业调研262.1.2  企业现状调研292.2  流程和方法论：敏捷开发与CI/CD342.2.1  敏捷开发342.2.2  持续集成、持续交付和持续部署402.3  技术：工具与自动化412.3.1  项目管理工具412.3.2  源代码管理工具422.3.3  静态代码扫描工具422.3.4  静态应用安全测试工具432.3.5  持续集成工具442.3.6  构建工具442.3.7  制品管理工具452.3.8  第三方安全扫描工具452.3.9  自动化测试工具452.3.10  动态安全测试工具462.3.11  交互式安全测试工具462.3.12  自动化配置/发布工具462.3.13  日志分析工具472.3.14  监控工具472.3.15  DevSecOps工具链482.4  文化与组织结构502.4.1  DevSecOps的文化和挑战502.4.2  DevSecOps的组织结构和角色502.5  DevSecOps框架与模型的建立522.5.1  DevSecOps的运营模型 522.5.2  DevSecOps的实现模型542.5.3  DevSecOps的成熟度模型542.6  总结56第3章  DevSecOps转型—从研发入手573.1  安全意识和能力提升603.1.1  安全意识613.1.2  安全能力613.1.3  隐私合规633.2  安全编码643.2.1  默认安全643.2.2  安全编码规范643.2.3  安全函数库和安全组件653.2.4  框架安全653.3  源代码管理和安全663.3.1  源代码安全管理673.3.2  分支策略673.3.3  代码评审743.4  持续集成753.4.1  编译构建和开发环境安全763.4.2  持续集成流水线763.4.3  安全能力在流水线上的融入783.5  代码质量和安全分析793.5.1  静态代码质量分析793.5.2  静态应用安全测试813.5.3  软件成分分析833.6  制品管理及安全853.7  总结87第4章  持续测试和安全884.1  持续测试—DevOps时代的高效测试之钥904.1.1  测试效率面临着巨大挑战914.1.2  什么是持续测试924.1.3  如何实现持续测试924.2  测试执行提效之自动化测试934.2.1  分层的自动化测试策略934.2.2  单元测试954.2.3  接口测试984.2.4  UI测试1004.2.5  其他自动化测试1014.3  测试执行提效之精准测试1014.4  测试流程提效：迭代内测试1024.4.1  持续测试带来流程上的变革要求1024.4.2  如何实践迭代内测试1034.5  持续测试下的“左移”和“右移”1044.5.1  测试左移1044.5.2  测试右移1064.5.3  “左移”“右移”不等于“去测试化”1074.6  应用安全测试左移1084.6.1  动态应用安全测试1084.6.2  交互式应用安全测试1124.7  DevSecOps影响着测试的方方面面1164.7.1  测试分类1164.7.2  质量度量1184.7.3  组织架构1204.7.4  团队文化1214.8  总结122第5章  业务与安全需求管理1235.1  业务功能需求管理1255.1.1  需求的收集与筛选1265.1.2  需求的分析1275.1.3  需求排期1305.1.4  需求描述和文档1305.1.5  需求拆分1325.1.6  需求评审1325.1.7  需求状态管理1335.1.8  需求管理工具1345.1.9  临时/紧急需求1345.2  安全需求管理1355.2.1  需求的安全分类1365.2.2  需求的安全评审1385.3  总结143第6章  进一步左移—设计与架构1446.1  为什么需要微服务架构1476.1.1  单体架构的局限性1486.1.2  微服务架构的优势1496.1.3  微服务与DevOps的关系1496.1.4  微服务化的实施路线1516.2  微服务拆分与设计1516.2.1  微服务拆分原则1516.2.2  微服务设计原则1526.2.3  微服务拆分方法1526.3  微服务开发与组合：微服务开发框架1546.3.1  Spring Cloud微服务架构1546.3.2  Service Mesh微服务架构1576.4  微服务改造：单体系统重构1606.4.1  改造策略1606.4.2  微服务改造的关键要素1616.4.3  微服务改造的实施步骤1616.5  安全设计与架构安全1626.5.1  安全风险评估体系的建立1626.5.2  项目的分类定义1646.6  快速检查表的使用1666.7  完整风险评估—威胁建模1696.7.1  识别资产1706.7.2  创建架构设计概览1716.7.3  分析应用系统1716.7.4  识别威胁1726.7.5  记录威胁1756.7.6