本書通過描述一家大型互聯網企業和一家大型傳統銀行的DevSecOps轉型的過程，幫助讀者淺顯易懂並且有代入感地了解如何將DevSecOps在企業內部落地和實踐。基於各類行業特點的DevSecOps實施與落地方法，是本書的主要技術要點。

序

前言

*1章DevSecOps的演進與落地思考1

1.1DevOps簡介4

1.1.1DevOps發展簡史5

1.1.2DevOps理念6

1.2DevSecOps簡介7

1.2.1從DevOps到DevSecOps7

1.2.2從SDL到DevSecOps11

1.2.3DevSecOps的指導原則14

1.2.4DevSecOps實踐17

1.3互聯網行業推動DevSecOps的動機與目標 21

1.4金融行業推動DevSecOps的動機與目標 22

1.5總結23

*2章DevSecOps的實施解決方案和體繫建設24

2.1DevSecOps現狀調研26

2.1.1DevSecOps的行業調研26

2.1.2企業現狀調研29

2.2流程和方法論：敏捷開發與CI/CD34

2.2.1敏捷開發34

2.2.2持續集成、持續交付和持續部署40

2.3技術：工具與自動化41

2.3.1項目管理工具41

2.3.2源代碼管理工具42

2.3.3靜態代碼掃描工具42

2.3.4靜態應用安全測試工具43

2.3.5持續集成工具44

2.3.6構建工具44

2.3.7制品管理工具45

2.3.8第三方安全掃描工具45

2.3.9自動化測試工具45

2.3.10動態安全測試工具46

2.3.11交互式安全測試工具46

2.3.12自動化配置/發布工具46

2.3.13日志分析工具47

2.3.14監控工具47

2.3.15DevSecOps工具鏈48

2.4文化與組織結構50

2.4.1DevSecOps的文化和挑戰50

2.4.2DevSecOps的組織結構和角色50

2.5DevSecOps框架與模型的建立52

2.5.1DevSecOps的運營模型 52

2.5.2DevSecOps的實現模型54

2.5.3DevSecOps的成熟度模型54

2.6總結56

第3章DevSecOps轉型—從研發入手57

3.1安全意識和能力提升60

3.1.1安全意識61

3.1.2安全能力61

3.1.3隱私合規63

3.2安全編碼64

3.2.1默認安全64

3.2.2安全編碼規範64

3.2.3安全函數庫和安全組件65

3.2.4框架安全65

3.3源代碼管理和安全66

3.3.1源代碼安全管理67

3.3.2分支策略67

3.3.3代碼評審74

3.4持續集成75

3.4.1編譯構建和開發環境安全76

3.4.2持續集成流水線76

3.4.3安全能力在流水線上的融入78

3.5代碼質量和安全分析79

3.5.1靜態代碼質量分析79

3.5.2靜態應用安全測試81

3.5.3軟件成分分析83

3.6制品管理及安全85

3.7總結87

第4章持續測試和安全88

4.1持續測試—DevOps時代的高效測試之鑰90

4.1.1測試效率面臨著巨大挑戰91

4.1.2什麼是持續測試92

4.1.3如何實現持續測試92

4.2測試執行提效之自動化測試93

4.2.1分層的自動化測試策略93

4.2.測試95

4.2.3接口測試98

4.2.4UI測試100

4.2.5其他自動化測試101

4.3測試執行提效之精準測試101

4.4測試流程提效：迭代內測試102

4.4.1持續測試帶來流程上的變革要求102

4.4.2如何實踐迭代內測試103

4.5持續測試下的“左移”和“右移”104

4.5.1測試左移104

4.5.2測試右移106

4.5.3“左移”“右移”不等於“去測試化”107

4.6應用安全測試左移108

4.6.1動態應用安全測試108

4.6.2交互式應用安全測試112

4.7DevSecOps影響著測試的方方面面116

4.7.1測試分類116

4.7.2質量度量118

4.7.3組織架構120

4.7.4團隊文化121

4.8總結122

第5章業務與安全需求管理123

5.1業務功能需求管理125

5.1.1需求的收集與篩選126

5.1.2需求的分析127

5.1.3需求排期130

5.1.4需求描述和文檔130

5.1.5需求拆分132

5.1.6需求評審132

5.1.7需求狀態管理133

5.1.8需求管理工具134

5.1.9臨時/緊急需求134

5.2安全需求管理135

5.2.1需求的安全分類136

5.2.2需求的安全評審138

5.3總結143

第6章進一步左移—設計與架構144

6.1為什麼需要微服務架構147

6.1.1單體架構的局限性148

6.1.2微服務架構的優勢149

6.1.3微服務與DevOps的關繫149

6.1.4微服務化的實施路線151

6.2微服務拆分與設計151

6.2.1微服務拆分原則151

6.2.2微服務設計原則152

6.2.3微服務拆分方法152

6.3微服務開發與組合：微服務開發框架154

6.3.1Spring Cloud微服務架構154

6.3.2Service Mesh微服務架構157

6.4微服務改造：單體繫統重構160

6.4.1改造策略160

6.4.2微服務改造的關鍵要素161

6.4.3微服務改造的實施步驟161

6.5安全設計與架構安全162

6.5.1安全風險評估體繫的建立162

6.5.2項目的分類定義164

6.6快速檢查表的使用166

6.7完整風險評估—威脅建模169

6.7.1識別資產170

6.7.2創建架構設計概覽171

6.7.3分析應用繫統171

6.7.4識別威脅172

6.7.5記錄威脅175

6.7.6威脅評級176

6.7.7威脅建模的工具與自動化180

6.8合規性檢查184

6.9總結186

第7章DevSecOps運維和線上運營187

7.1配置和環境管理189

7.1.1基礎設施即代碼190

7.1.2配置的安全管理原則191

7.1.3安全的計算環境192

7.2發布部署策略193

7.3持續監控和安全195

7.3.1業務和應用層級的持續監控196

7.3.2安全監控197

7.3.3統一監控平臺的建立198

7.4日志分析198

7.4.1日志管理的挑戰199

7.4.2日志平臺建設199

7.4.3日志的安全200

7.  事件響應與業務的連續性202

7.5.1信息安全應急響應機制202

7.5.2業務的連續性206

7.6身份認證和訪問控制208

7.6.1身份認證與訪問控制的方式及對應問題208

7.6.2統一的身份認證與訪問管理214

7.7數據管理和安全216

7.7.1數據本身的安全216

7.7.2數據的安全防護218

7.7.3大數據安全220

7.7.4數據治理與合規222

7.8安全眾測225

7.9紅藍對抗227

7.10DevOps平臺的安全229

7.11RASP230

7.11.1RASP和WAF231

7.11.2RASP的工作原理和特點232

7.11.3RASP技術面臨的挑戰233

7.12總結234

第8章DevSecOps度量體繫建設236

8.1持續反饋和度量驅動238

8.2度量指標的定義與成熟度模型240

8.2.1度量的指標241

8.2.2成熟度模型245

8.3度量平臺的建立、安全管控和可視化248

8.4度量實踐常見的問題和誤區250

8.5實踐中如何正確使用度量251

8.6研發效能度量實踐254

8.7總結257

第9章雲原生場景下的DevSecOps應用258

9.1雲原生帶來的新變化260

9.1.1雲原生的DevOps新變化260

9.1.2雲原生面臨的新安全風險262

9.1.3雲原生帶來的新安全需求265

9.2雲原生DevSecOps實施流程266

9.2.1開發階段的安全266

9.2.2分發階段的安全267

9.2.3部署階段的安全270

9.2.4運行時階段的安全271

9.3雲原生DevSecOps相關安全工具274

9.3.1雲原生安全開源工具274

9.3.2雲原生安全商業產品276

9.3.3雲原生DevSecOps實踐框架277

9.4雲原生DevSecOps的落地應用和演進趨勢278

9.5總結281

後記282

參考文獻285