新書推薦:
《
可转债投资实战
》
售價:HK$
99.7
《
王氏之死(新版,史景迁成名作)
》
售價:HK$
54.9
《
敢为天下先:三年建成港科大
》
售價:HK$
77.3
《
长高食谱 让孩子长高个的饮食方案 0-15周岁儿童调理脾胃食谱书籍宝宝辅食书 让孩子爱吃饭 6-9-12岁儿童营养健康食谱书大全 助力孩子身体棒胃口好长得高
》
售價:HK$
47.0
《
身体自愈力:解决内在病因的身体智慧指南
》
售價:HK$
98.6
《
非言语沟通经典入门:影响人际交往的重要力量(第7版)
》
售價:HK$
123.1
《
山西寺观艺术壁画精编卷
》
售價:HK$
1680.0
《
中国摄影 中式摄影的独特魅力
》
售價:HK$
1097.6
|
編輯推薦: |
1.前沿理论指导:本书阐述了DevSecOps的前沿理论,指导读者如何将安全思维融入DevOps过程,提供企业级DevSecOps实施的理论基础。2.实用性与操作性:本书解读了DevSecOps的best实践,并介绍了平台设计与工具应用,以及流行的云原生工具和技术。3.全面实战指南:本书以作者的实战经验和业界的实践案例为指导,为读者提供全面的DevSecOps实施方法。4.专业背景和经验:作者具有20多年的IT从业经验,曾在多个公司担任DevOps售前顾问及解决方案总监、产品经理等职位。这使得本书更具有可靠性和参考价值。
|
內容簡介: |
DevSecOps 在 DevOps 的基础上融入安全底线思维,是软件工程领域的前沿理论。本书系统地阐述企业实践 DevSecOps 所需的理论、技术和方法,首先从软件工程发展趋势,尤其是敏捷、DevOps 等领域的发展趋势出发,结合 DevOps best实践、DevSecOps 相关报告和标准,循序渐进地阐述 DevSecOps 理念;然后解读 DevSecOps best实践,根据 DevSecOps best实践涉及的重点阶段和相关技术讲解平台设计与工具应用,并结合开源、云原生等领域的流行工具介绍 DevSecOps 工具链及平台建设方法;最后以作者的实战经验和业界的实践案例介绍 DevSecOps 的实施方法。
|
關於作者: |
陈能技拥有20多年IT从业经验,曾任测试工程师、QA、项目经理、培训讲师、咨询顾问、架构师、技术总监等职位,亲历手工作坊式软件团队到专业化交付工程团队的发展过程。曾任多家公司DevOps售前顾问及解决方案总监、产品经理,ITSS工作组DevOps专家组组长。他是《软件测试技术大全:测试基础、流行工具、项目实践》《软件自动化测试成功之道:常用工具、脚本开发、测试框架和项目实战》等多本IT图书的作者,包括国内DevOps实践专著《大规模组织DevOps实践》。目前专注于研究DevOps、DevSecOps、GitOps和软件专业化交付能力。
|
目錄:
|
第 1章 DevOps 基础 11.1 从瀑布到敏捷,从敏捷到DevOps 11.1.1 软件的生产力 11.1.2 从瀑布到敏捷 11.1.3 DevOps 的源起 21.2 DevOps 的实践方法论 31.2.1 DevOps 的 3 个原则 31.2.2 DevOps 的 5 个理念 31.3 DevOps 解决的问题 41.3.1 缩短市场响应时间 41.3.2 减少技术债务 41.3.3 消除系统脆弱性 51.4 DevOps 现状及发展趋势 51.4.1 中国 DevOps 现状 51.4.2 DevOps 发展方向 101.5 DevOps 相关标准规范 111.5.1 DevOps 能力成熟度模型 111.5.2 DevOps 解决方案标准 131.5.3 信息技术服务开发运维技术要求 15第 2章 从安全视角看 DevOps 182.1 从 SDL 到 DevSecOps 182.1.1 DevOps 对 SDL 的挑战 192.1.2 SRE 与 DevOps 202.1.3 DevSecOps 支撑体系 202.1.4 DevSecOps 工作过程的六大要点 222.1.5 DevSecOps 的三层方法论 232.2 DevSecOps 现状及发展趋势 272.2.1 云安全与 DevSecOps 272.2.2 安全软件开发框架 SSDF 292.2.3 《GitLab 第四次全球 DevSecOps年度调查》报告解读 312.2.4 《研发运营安全白皮书》解读 322.2.5 DevSecOps 技术发展趋势预测 332.3 软件供应链安全与 DevSecOps 342.3.1 软件供应链安全问题 352.3.2 软件供应链的生命周期 352.3.3 开源和云原生时代下的软件供应链 362.3.4 国外软件供应链安全发展现状 362.3.5 国内软件供应链安全发展现状 372.3.6 软件供应链攻击类型 372.3.7 软件供应链风险分析 392.3.8 应用 DevSecOps 应对软件供应链安全风险 402.3.9 软件供应链安全最新发展趋势 45第3章 DevSecOps 最佳实践 513.1 构建安全与安全左移 513.1.1 安全左移 513.1.2 安全意识与教育 513.1.3 常见漏洞列表 523.1.4 安全演练 533.1.5 结对编程和同行评审 533.1.6 Scrum 中的安全性 543.1.7 代码审计 553.2 安全架构 563.2.1 自适应安全架构 563.2.2 零信任模型 583.2.3 ATT&CK 框架 593.2.4 CSMA 593.3 安全设计 603.3.1 核心安全设计原则 613.3.2 威胁建模 613.3.3 微服务安全 643.3.4 API 安全 663.3.5 容器安全 713.3.6 流水线安全 763.4 持续安全 793.4.1 测试驱动安全 793.4.2 攻击监控与应对 813.4.3 实现持续的安全性 843.5 安全自动化 843.5.1 实现自动化 843.5.2 应用安全测试 853.5.3 移动应用安全测试 853.5.4 基础设施安全测试 863.6 云原生安全 873.6.1 云原生安全的定义 873.6.2 Gartner 的云安全体系 873.6.3 云原生应用的供应链安全 883.6.4 容器技术安全基准 883.6.5 混沌工程思想 893.6.6 云上安全部署 923.6.7 灰度发布 973.7 零信任网络安全 983.7.1 零信任 993.7.2 微隔离 993.8 安全度量 1023.8.1 软件安全成熟度发展史 1023.8.2 软件安全构建成熟度模型 1033.8.3 可信研发运营安全能力成熟度模型 106第4章 DevSecOps 平台设计与工具应用 1184.1 DevSecOps 模型设计 1184.1.1 概念模型 1184.1.2 分层模型 1184.1.3 架构模型 1194.2 DevSecOps 工具链设计 1204.2.1 计划阶段 1214.2.2 创建阶段 1214.2.3 验证阶段 1214.2.4 准生产阶段 1224.2.5 发布阶段 1234.2.6 配置阶段 1234.2.7 检测阶段 1234.2.8 响应阶段 1244.2.9 预报阶段 1244.2.10 调整阶段 1244.3 代码安全托管与代码安全 1254.3.1 高可用的 GitLab 1254.3.2 代码安全托管 1304.3.3 SAST 1344.4 开源组件管理与开源治理 1374.4.1 SCA 工具选型 1374.4.2 SCA 工具应用 1414.4.3 开源治理体系与平台建设 1444.5 API 安全防护 1454.5.1 API 安全防护措施 1464.5.2 API 安全工具 1464.6 制品库管理 1474.6.1 制品与制品库 1474.6.2 制品库管理需要解决的问题 1474.6.3 制品库管理要求 1484.7 原生安全防护 1484.7.1 原生主机安全 1484.7.2 原生容器安全 1504.7.3 原生应急响应和取证 1514.8 DAST 153OWASP ZAP 1544.9 IAST 1544.9.1 IAST 的检测方式 1544.9.2 IAST 的漏洞发现能力 1554.9.3 IAST 工具的基本能力要求 1554.9.4 IAST 与 DevSecOps 流程的整合 1564.9.5 IAST 与 SCA 工具的集成 1564.10 RASP 1574.10.1 RASP 技术原理 1584.10.2 OpenRASP 1584.10.3 RASP 与 DevSecOps 流程的整合 1594.11 入侵与攻击模拟 1604.11.1 人工渗透测试的限制 1604.11.2 云渗透测试 1614.11.3 紫队 1614.11.4 自动化入侵与攻击模拟 1624.11.5 有效的入侵与攻击模拟 1634.11.6 XM Cyber 1634.12 以安全为中心的流量分析 1644.12.1 网络安全监控需求 1644.12.2 DPI 1644.12.3 基于 nDPI 的流量处理 1654.12.4 应用场景 1664.12.5 云原生安全网格平台 1664.13 混沌工程 1694.13.1 生产环境中的问题 1694.13.2 实施混沌工程的原则 1694.13.3 混沌工程测试平台能力 1704.13.4 混沌工程工具 1704.14 网络安全演练 1714.15 全链路压测 1724.15.1 性能测试的新挑战 1724.15.2 全链路压测技术 1724.15.3 监控分析技术 1734.15.4 开源全链路压测平台Takin 1734.16 DevSecOps 平台建设方法 1744.16.1 “一站式”能力建设 1744.16.2 “云平台+开源软件”的DevSecOps 框架构建 1744.16.3 构建“黄金管道” 1754.16.4 人工智能与 DevSecOps 1764.17 基于 GitLab 集成工具链实现 DevSecOps 1764.17.1 GitLab 集成工具链实现安全的 DevOps 1774.17.2 GitLab 集成工具链实现 GitOps 模式 183第5章 实践案例 1865.1 某企业持续集成项目 1865.1.1 项目背景 1865.1.2 解决方案 1865.2 某电网公司 DevSecOps 体系建设 1895.2.1 背景 1895.2.2 体系设计方法 1895.2.3 需求分析 1905.2.4 总体设计目标 1915.2.5 核心设计内容 1915.2.6 专题设计 1935.3 某电信运营商公司 DevOps 平台规划 2025.3.1 平台建设目标 2025.3.2 平台建设范围 2035.3.3 平台需求分析和规划设计 2035.3.4 平台技术实现方案 2095.4 双模发布管理平台的设计与应用 2135.4.1 产生背景 2135.4.2 双模发布管理平台设计 2155.4.3 案例及功能说明 217
|
|