掃一掃
關(guān)注中圖網(wǎng)
官方微博
DEVSECOPS原理、核心技術(shù)與實戰(zhàn) 版權(quán)信息
- ISBN:9787111727125
- 條形碼:9787111727125 ; 978-7-111-72712-5
- 裝幀:平裝-膠訂
- 冊數(shù):暫無
- 重量:暫無
- 所屬分類:>
DEVSECOPS原理、核心技術(shù)與實戰(zhàn) 本書特色
《DevSecOps原理、核心技術(shù)與實戰(zhàn)》融合了信息安全行業(yè)資深技術(shù)專家十多年一線實戰(zhàn)經(jīng)驗,采用理論和實踐相結(jié)合的模式,基于Git GitLab Jekins等開源生態(tài)系統(tǒng),圍繞軟件研發(fā)生命周期的各個環(huán)節(jié),從需求、開發(fā)、構(gòu)建、部署及發(fā)布,形成自動化構(gòu)建、自動化部署的作業(yè)流水線,并結(jié)合自動化運(yùn)維、基礎(chǔ)設(shè)施代碼化和容器化技術(shù),介紹安全技術(shù)與研發(fā)自動化流水線的融合細(xì)節(jié),幫助讀者快速構(gòu)建DevSecOps技術(shù)在企業(yè)的應(yīng)用與落地。語言簡練、內(nèi)容實用,難點處配有二維碼視頻,使讀者身臨其境,迅速、深入地掌握各種經(jīng)驗和技巧。
DEVSECOPS原理、核心技術(shù)與實戰(zhàn) 內(nèi)容簡介
《DevSecOps原理、核心技術(shù)與實戰(zhàn)》以DevSecOps體系架構(gòu)為基礎(chǔ),圍繞GitOps開源生態(tài),重點介紹DevSecOps平臺建設(shè)和技術(shù)實現(xiàn)細(xì)節(jié),從黃金管道、安全工具鏈、周邊生態(tài)系統(tǒng)三個方面入手,為讀者介紹各種安全工具與黃金管道的集成,以及基于黃金管道之上的安全自動化與安全運(yùn)營。通過閱讀本書,讀者可以全面了解DevSecOps技術(shù)的全貌,同時,熟悉開展DevSecOps實踐和管理運(yùn)營所需的知識體系,是一本普適性的、基于容器化和云原生技術(shù)的DevSecOps實踐指南。《DevSecOps原理、核心技術(shù)與實戰(zhàn)》為讀者提供了全部案例源代碼下載和高清學(xué)習(xí)視頻,讀者可以直接掃描二維碼觀看。《DevSecOps原理、核心技術(shù)與實戰(zhàn)》適用于網(wǎng)絡(luò)安全人員、DevOps/DevSecOps布道師、軟件開發(fā)人員、系統(tǒng)架構(gòu)師、基礎(chǔ)架構(gòu)運(yùn)維工程師、質(zhì)量工程師,以及高等院校對DevSecOps安全感興趣的學(xué)生和研究人員。
DEVSECOPS原理、核心技術(shù)與實戰(zhàn) 目錄
序
前言
第1部分DevSecOps體系概要
第1章什么是真正的DevSecOps
1.1DevSecOps定義
1.1.1DevSecOps的基本概念
1.1.2DevSecOps的核心理念
1.1.3DevSecOps的重要組成
1.2DevSecOps發(fā)展歷史
1.2.1DevSecOps發(fā)展關(guān)鍵里程碑
1.2.2影響DevSecOps發(fā)展的關(guān)鍵因素
1.2.3DevSecOps未來的發(fā)展趨勢
1.3DevSecOps參考模型
1.3.1DevOps組織型模型
1.3.2Gartner普適性模型
1.3.3DoD實踐型模型
1.4DevSecOps核心流程
1.4.1DevSecOps核心流程基本組成
1.4.2DevSecOps核心流程典型場景
1.5小結(jié)
第2章DevSecOps體系管理
2.1DevSecOps成熟度模型
2.1.1GSA DevSecOps成熟度模型
2.1.2OWASP DevSecOps成熟度模型2.2DevSecOps度量指標(biāo)
2.2.1指標(biāo)概覽
2.2.2必選指標(biāo)
2.2.3可選指標(biāo)
2.3DevSecOps建設(shè)規(guī)劃
2.3.1實際可達(dá)的演化路徑
2.3.2中小型企業(yè)DevSecOps建設(shè)
2.3.3大中型企業(yè)DevSecOps建設(shè)
2.4小結(jié)
第2部分DevSecOps平臺架構(gòu)及其組件
第3章DevSecOps平臺架構(gòu)
3.1DevSecOps平臺需求
3.1.1為什么要開展DevSecOps平臺建設(shè)
3.1.2DevSecOps平臺建設(shè)需求來源
3.2DevSecOps平臺架構(gòu)組成
3.3實驗級DevSecOps學(xué)習(xí)平臺
3.3.1DevSecOps Studio平臺架構(gòu)及組件
3.3.2DevSecOps Studio安裝與基本使用
3.4企業(yè)級DevSecOps平臺架構(gòu)
3.4.1微軟云Azure DevSecOps平臺架構(gòu)
3.4.2亞馬遜云AWS DevSecOps平臺架構(gòu)
3.4.3互聯(lián)網(wǎng)企業(yè)私有化DevSecOps平臺典型架構(gòu)
3.5小結(jié)
第4章持續(xù)集成與版本控制
4.1持續(xù)集成與版本控制相關(guān)概念
4.1.1持續(xù)集成基本概念
4.1.2版本控制基本概念
4.1.3其他基本概念
4.2持續(xù)集成流程主要系統(tǒng)構(gòu)成
4.2.1版本控制系統(tǒng)
4.2.2編譯構(gòu)建系統(tǒng)
4.2.3編排調(diào)度系統(tǒng)
4.2.4其他相關(guān)系統(tǒng)4.3持續(xù)集成流水線
4.3.1典型操作流程和使用場景
4.3.2基于GitHub的持續(xù)集成流水線
4.3.3基于JenkinsGitLab CI的持續(xù)集成流水線
4.4小結(jié)
第5章持續(xù)交付與持續(xù)部署
5.1持續(xù)交付與持續(xù)部署相關(guān)概念
5.1.1持續(xù)交付基本概念
5.1.2持續(xù)部署基本概念
5.1.3其他相關(guān)概念
5.2持續(xù)交付持續(xù)部署流程主要系統(tǒng)構(gòu)成
5.2.1鏡像容器管理系統(tǒng)
5.2.2配置管理系統(tǒng)
5.2.3運(yùn)維發(fā)布管理系統(tǒng)
5.3持續(xù)交付持續(xù)部署流水線
5.3.1典型操作流程和使用場景
5.3.2基于GitHub Docker的持續(xù)交付持續(xù)部署流水線
5.3.3基于Jenkins Docker K8s的持續(xù)交付持續(xù)部署流水線
5.4小結(jié)
第6章安全工具鏈及其周邊生態(tài)
6.1安全工具鏈在平臺中的定位
6.1.1分層定位
6.1.2集成概覽
6.2安全工具鏈分類
6.2.1威脅建模類
6.2.2靜態(tài)安全檢測類
6.2.3動態(tài)安全檢測類
6.2.4交互式安全檢測類
6.2.5運(yùn)行時應(yīng)用自我保護(hù)類
6.3主流安全工具簡介
6.3.1Fortify代碼安全檢測
6.3.2Checkmarx代碼安全檢測
6.3.3AWVS漏洞安全檢測
6.3.4Nessus漏洞安全檢測
6.3.5OpenRASP運(yùn)行時安全防護(hù)6.3.6DongTai交互式漏洞安全檢測
6.3.7WAF應(yīng)用程序防火墻
6.4典型周邊生態(tài)系統(tǒng)
6.5小結(jié)
第3部分DevSecOps流水線及落地實踐
第7章代碼安全與軟件工廠
7.1定義切合實際的DevSecOps流水線
7.1.1典型代碼安全DevSecOps流水線形態(tài)
7.1.2選擇DevSecOps流水線上的代碼安全工具
7.2構(gòu)建DevSecOps軟件工廠
7.2.1典型DevSecOps軟件工廠組成結(jié)構(gòu)
7.2.2典型DevSecOps軟件工廠生產(chǎn)流水線
7.3集成代碼安全工具鏈
7.3.1SonarQube集成
7.3.2Fortify集成
7.4代碼安全運(yùn)營與管理
7.4.1代碼安全檢測的關(guān)鍵策略
7.4.2漏洞修復(fù)的關(guān)鍵策略
7.4.3代碼安全度量指標(biāo)
7.5小結(jié)
第8章組件安全與持續(xù)構(gòu)建
8.1定義安全可信的基礎(chǔ)倉庫
8.1.1組件依賴倉庫周邊協(xié)作關(guān)系
8.1.2組件依賴倉庫架構(gòu)
8.1.3組件倉庫技術(shù)選型
8.2選擇恰當(dāng)?shù)臉?gòu)建安全工具
8.2.1加殼加固類工具
8.2.2成分分析類工具
8.2.3數(shù)字簽名類工具
8.2.4安全編譯參數(shù)
8.3集成構(gòu)建安全工具鏈
8.3.1Dependency Check與流水線集成
8.3.2安全編譯關(guān)鍵設(shè)置與流水線集成8.4組件安全運(yùn)營與管理
8.4.1統(tǒng)一網(wǎng)絡(luò)出口和流程管控
8.4.2形成組件更新與迭代機(jī)制
8.4.3組件選型收斂和漏洞閉環(huán)
8.5小結(jié)
第9章安全測試與持續(xù)集成
9.1定義不同的安全測試工具組合
9.1.1安全測試工具組合的作用
9.1.2安全測試工具的選擇
9.1.3典型安全測試工具組合流程
9.2集成黑盒安全檢測工具
9.2.1動態(tài)安全檢測工具集成特點
9.2.2OWASP ZAP流水線集成與使用
9.2.3Nessus流水線集成與使用
9.3整合安全工具與漏洞運(yùn)營
9.3.1持續(xù)集成中安全工具的整合
9.3.2安全漏洞收斂與度量
9.4小結(jié)
第10章基線加固與容器安全
10.1定義基線加固和安全鏡像
10.1.1安全基線的選擇
10.1.2安全基線和鏡像的維護(hù)
10.1.3鏡像制作與鏡像倉庫
10.2集成容器安全工具鏈
10.2.1Trivy容器鏡像掃描工具
10.2.2K8s基線檢測工具
10.3融入DevSecOps黃金管道
10.3.1Trivy與流水線集成
10.3.2Kube-Bench與流水線集成
10.4小結(jié)
第11章基礎(chǔ)設(shè)施與安全運(yùn)營
11.1基礎(chǔ)設(shè)施即代碼(IaC)
11.1.1通過配置管理消減基礎(chǔ)設(shè)施風(fēng)險
11.1.2遵循基礎(chǔ)設(shè)施安全實踐11.1.3保障IaC自身安全
11.2集成基礎(chǔ)設(shè)施安全工具鏈
11.2.1基
前言
第1部分DevSecOps體系概要
第1章什么是真正的DevSecOps
1.1DevSecOps定義
1.1.1DevSecOps的基本概念
1.1.2DevSecOps的核心理念
1.1.3DevSecOps的重要組成
1.2DevSecOps發(fā)展歷史
1.2.1DevSecOps發(fā)展關(guān)鍵里程碑
1.2.2影響DevSecOps發(fā)展的關(guān)鍵因素
1.2.3DevSecOps未來的發(fā)展趨勢
1.3DevSecOps參考模型
1.3.1DevOps組織型模型
1.3.2Gartner普適性模型
1.3.3DoD實踐型模型
1.4DevSecOps核心流程
1.4.1DevSecOps核心流程基本組成
1.4.2DevSecOps核心流程典型場景
1.5小結(jié)
第2章DevSecOps體系管理
2.1DevSecOps成熟度模型
2.1.1GSA DevSecOps成熟度模型
2.1.2OWASP DevSecOps成熟度模型2.2DevSecOps度量指標(biāo)
2.2.1指標(biāo)概覽
2.2.2必選指標(biāo)
2.2.3可選指標(biāo)
2.3DevSecOps建設(shè)規(guī)劃
2.3.1實際可達(dá)的演化路徑
2.3.2中小型企業(yè)DevSecOps建設(shè)
2.3.3大中型企業(yè)DevSecOps建設(shè)
2.4小結(jié)
第2部分DevSecOps平臺架構(gòu)及其組件
第3章DevSecOps平臺架構(gòu)
3.1DevSecOps平臺需求
3.1.1為什么要開展DevSecOps平臺建設(shè)
3.1.2DevSecOps平臺建設(shè)需求來源
3.2DevSecOps平臺架構(gòu)組成
3.3實驗級DevSecOps學(xué)習(xí)平臺
3.3.1DevSecOps Studio平臺架構(gòu)及組件
3.3.2DevSecOps Studio安裝與基本使用
3.4企業(yè)級DevSecOps平臺架構(gòu)
3.4.1微軟云Azure DevSecOps平臺架構(gòu)
3.4.2亞馬遜云AWS DevSecOps平臺架構(gòu)
3.4.3互聯(lián)網(wǎng)企業(yè)私有化DevSecOps平臺典型架構(gòu)
3.5小結(jié)
第4章持續(xù)集成與版本控制
4.1持續(xù)集成與版本控制相關(guān)概念
4.1.1持續(xù)集成基本概念
4.1.2版本控制基本概念
4.1.3其他基本概念
4.2持續(xù)集成流程主要系統(tǒng)構(gòu)成
4.2.1版本控制系統(tǒng)
4.2.2編譯構(gòu)建系統(tǒng)
4.2.3編排調(diào)度系統(tǒng)
4.2.4其他相關(guān)系統(tǒng)4.3持續(xù)集成流水線
4.3.1典型操作流程和使用場景
4.3.2基于GitHub的持續(xù)集成流水線
4.3.3基于JenkinsGitLab CI的持續(xù)集成流水線
4.4小結(jié)
第5章持續(xù)交付與持續(xù)部署
5.1持續(xù)交付與持續(xù)部署相關(guān)概念
5.1.1持續(xù)交付基本概念
5.1.2持續(xù)部署基本概念
5.1.3其他相關(guān)概念
5.2持續(xù)交付持續(xù)部署流程主要系統(tǒng)構(gòu)成
5.2.1鏡像容器管理系統(tǒng)
5.2.2配置管理系統(tǒng)
5.2.3運(yùn)維發(fā)布管理系統(tǒng)
5.3持續(xù)交付持續(xù)部署流水線
5.3.1典型操作流程和使用場景
5.3.2基于GitHub Docker的持續(xù)交付持續(xù)部署流水線
5.3.3基于Jenkins Docker K8s的持續(xù)交付持續(xù)部署流水線
5.4小結(jié)
第6章安全工具鏈及其周邊生態(tài)
6.1安全工具鏈在平臺中的定位
6.1.1分層定位
6.1.2集成概覽
6.2安全工具鏈分類
6.2.1威脅建模類
6.2.2靜態(tài)安全檢測類
6.2.3動態(tài)安全檢測類
6.2.4交互式安全檢測類
6.2.5運(yùn)行時應(yīng)用自我保護(hù)類
6.3主流安全工具簡介
6.3.1Fortify代碼安全檢測
6.3.2Checkmarx代碼安全檢測
6.3.3AWVS漏洞安全檢測
6.3.4Nessus漏洞安全檢測
6.3.5OpenRASP運(yùn)行時安全防護(hù)6.3.6DongTai交互式漏洞安全檢測
6.3.7WAF應(yīng)用程序防火墻
6.4典型周邊生態(tài)系統(tǒng)
6.5小結(jié)
第3部分DevSecOps流水線及落地實踐
第7章代碼安全與軟件工廠
7.1定義切合實際的DevSecOps流水線
7.1.1典型代碼安全DevSecOps流水線形態(tài)
7.1.2選擇DevSecOps流水線上的代碼安全工具
7.2構(gòu)建DevSecOps軟件工廠
7.2.1典型DevSecOps軟件工廠組成結(jié)構(gòu)
7.2.2典型DevSecOps軟件工廠生產(chǎn)流水線
7.3集成代碼安全工具鏈
7.3.1SonarQube集成
7.3.2Fortify集成
7.4代碼安全運(yùn)營與管理
7.4.1代碼安全檢測的關(guān)鍵策略
7.4.2漏洞修復(fù)的關(guān)鍵策略
7.4.3代碼安全度量指標(biāo)
7.5小結(jié)
第8章組件安全與持續(xù)構(gòu)建
8.1定義安全可信的基礎(chǔ)倉庫
8.1.1組件依賴倉庫周邊協(xié)作關(guān)系
8.1.2組件依賴倉庫架構(gòu)
8.1.3組件倉庫技術(shù)選型
8.2選擇恰當(dāng)?shù)臉?gòu)建安全工具
8.2.1加殼加固類工具
8.2.2成分分析類工具
8.2.3數(shù)字簽名類工具
8.2.4安全編譯參數(shù)
8.3集成構(gòu)建安全工具鏈
8.3.1Dependency Check與流水線集成
8.3.2安全編譯關(guān)鍵設(shè)置與流水線集成8.4組件安全運(yùn)營與管理
8.4.1統(tǒng)一網(wǎng)絡(luò)出口和流程管控
8.4.2形成組件更新與迭代機(jī)制
8.4.3組件選型收斂和漏洞閉環(huán)
8.5小結(jié)
第9章安全測試與持續(xù)集成
9.1定義不同的安全測試工具組合
9.1.1安全測試工具組合的作用
9.1.2安全測試工具的選擇
9.1.3典型安全測試工具組合流程
9.2集成黑盒安全檢測工具
9.2.1動態(tài)安全檢測工具集成特點
9.2.2OWASP ZAP流水線集成與使用
9.2.3Nessus流水線集成與使用
9.3整合安全工具與漏洞運(yùn)營
9.3.1持續(xù)集成中安全工具的整合
9.3.2安全漏洞收斂與度量
9.4小結(jié)
第10章基線加固與容器安全
10.1定義基線加固和安全鏡像
10.1.1安全基線的選擇
10.1.2安全基線和鏡像的維護(hù)
10.1.3鏡像制作與鏡像倉庫
10.2集成容器安全工具鏈
10.2.1Trivy容器鏡像掃描工具
10.2.2K8s基線檢測工具
10.3融入DevSecOps黃金管道
10.3.1Trivy與流水線集成
10.3.2Kube-Bench與流水線集成
10.4小結(jié)
第11章基礎(chǔ)設(shè)施與安全運(yùn)營
11.1基礎(chǔ)設(shè)施即代碼(IaC)
11.1.1通過配置管理消減基礎(chǔ)設(shè)施風(fēng)險
11.1.2遵循基礎(chǔ)設(shè)施安全實踐11.1.3保障IaC自身安全
11.2集成基礎(chǔ)設(shè)施安全工具鏈
11.2.1基
展開全部
DEVSECOPS原理、核心技術(shù)與實戰(zhàn) 作者簡介
錢君生
科大訊飛集團(tuán)安全技術(shù)專家,十余年行業(yè)工作經(jīng)驗,主要負(fù)責(zé)安全平臺研發(fā)、DevSecOps、安全防護(hù)體系、團(tuán)隊建設(shè)等工作,具備豐富的互聯(lián)網(wǎng)安全一線實戰(zhàn)經(jīng)驗,曾編寫開源網(wǎng)絡(luò)安全圖書《Burp Suite實戰(zhàn)指南》。
章亮,碩士,畢業(yè)于華僑大學(xué),先后在趨勢科技(中國)、科大訊飛從事病毒分析、深度學(xué)習(xí)在威脅檢測中的應(yīng)用、移動APP合規(guī)治理等工作。現(xiàn)任職于長鑫存儲。
書友推薦
- >
我與地壇
- >
莉莉和章魚
- >
月亮虎
- >
【精裝繪本】畫給孩子的中國神話
- >
自卑與超越
- >
大紅狗在馬戲團(tuán)-大紅狗克里弗-助人
- >
中國歷史的瞬間
- >
山海經(jīng)
本類暢銷
