本書闡述企業(yè)實(shí)踐DevSecOps所需的理論、技術(shù)和方法,首先從軟件工程發(fā)展趨勢(shì),尤其是敏捷、DevOps等領(lǐng)域的發(fā)展趨勢(shì)出發(fā),結(jié)合DevOps實(shí)踐、DevSecOps相關(guān)報(bào)告和標(biāo)準(zhǔn),闡述DevSecOps理念;然后解讀DevSecOps最佳實(shí)踐,根據(jù)DevSecOps最佳實(shí)踐涉及的重點(diǎn)階段和相關(guān)技術(shù)講解平臺(tái)設(shè)計(jì)與工具應(yīng)用,并結(jié)合開源、云原生等領(lǐng)域的流行工具介紹DevSecOps工具鏈及平臺(tái)建設(shè)方法;最后以作者的實(shí)戰(zhàn)經(jīng)驗(yàn)和業(yè)界的實(shí)踐案例介紹DevSecOps的實(shí)施方法。
第 1章 DevOps 基礎(chǔ) 1
1.1 從瀑布到敏捷,從敏捷到DevOps 1
1.1.1 軟件的生產(chǎn)力 1
1.1.2 從瀑布到敏捷 1
1.1.3 DevOps 的源起 2
1.2 DevOps 的實(shí)踐方法論 3
1.2.1 DevOps 的 3 個(gè)原則 3
1.2.2 DevOps 的 5 個(gè)理念 3
1.3 DevOps 解決的問題 4
1.3.1 縮短市場(chǎng)響應(yīng)時(shí)間 4
1.3.2 減少技術(shù)債務(wù) 4
1.3.3 消除系統(tǒng)脆弱性 5
1.4 DevOps 現(xiàn)狀及發(fā)展趨勢(shì) 5
1.4.1 中國 DevOps 現(xiàn)狀 5
1.4.2 DevOps 發(fā)展方向 10
1.5 DevOps 相關(guān)標(biāo)準(zhǔn)規(guī)范 11
1.5.1 DevOps 能力成熟度模型 11
1.5.2 DevOps 解決方案標(biāo)準(zhǔn) 13
1.5.3 信息技術(shù)服務(wù)開發(fā)運(yùn)維技術(shù)要求 15
第 2章 從安全視角看 DevOps 18
2.1 從 SDL 到 DevSecOps 18
2.1.1 DevOps 對(duì) SDL 的挑戰(zhàn) 19
2.1.2 SRE 與 DevOps 20
2.1.3 DevSecOps 支撐體系 20
2.1.4 DevSecOps 工作過程的六大要點(diǎn) 22
2.1.5 DevSecOps 的三層方法論 23
2.2 DevSecOps 現(xiàn)狀及發(fā)展趨勢(shì) 27
2.2.1 云安全與 DevSecOps 27
2.2.2 安全軟件開發(fā)框架 SSDF 29
2.2.3 《GitLab 第四次全球 DevSecOps年度調(diào)查》報(bào)告解讀 31
2.2.4 《研發(fā)運(yùn)營安全白皮書》解讀 32
2.2.5 DevSecOps 技術(shù)發(fā)展趨勢(shì)預(yù)測(cè) 33
2.3 軟件供應(yīng)鏈安全與 DevSecOps 34
2.3.1 軟件供應(yīng)鏈安全問題 35
2.3.2 軟件供應(yīng)鏈的生命周期 35
2.3.3 開源和云原生時(shí)代下的軟件供應(yīng)鏈 36
2.3.4 國外軟件供應(yīng)鏈安全發(fā)展現(xiàn)狀 36
2.3.5 國內(nèi)軟件供應(yīng)鏈安全發(fā)展現(xiàn)狀 37
2.3.6 軟件供應(yīng)鏈攻擊類型 37
2.3.7 軟件供應(yīng)鏈風(fēng)險(xiǎn)分析 39
2.3.8 應(yīng)用 DevSecOps 應(yīng)對(duì)軟件供應(yīng)鏈安全風(fēng)險(xiǎn) 40
2.3.9 軟件供應(yīng)鏈安全最新發(fā)展趨勢(shì) 45
第3章 DevSecOps 最佳實(shí)踐 51
3.1 構(gòu)建安全與安全左移 51
3.1.1 安全左移 51
3.1.2 安全意識(shí)與教育 51
3.1.3 常見漏洞列表 52
3.1.4 安全演練 53
3.1.5 結(jié)對(duì)編程和同行評(píng)審 53
3.1.6 Scrum 中的安全性 54
3.1.7 代碼審計(jì) 55
3.2 安全架構(gòu) 56
3.2.1 自適應(yīng)安全架構(gòu) 56
3.2.2 零信任模型 58
3.2.3 ATT&CK 框架 59
3.2.4 CSMA 59
3.3 安全設(shè)計(jì) 60
3.3.1 核心安全設(shè)計(jì)原則 61
3.3.2 威脅建模 61
3.3.3 微服務(wù)安全 64
3.3.4 API 安全 66
3.3.5 容器安全 71
3.3.6 流水線安全 76
3.4 持續(xù)安全 79
3.4.1 測(cè)試驅(qū)動(dòng)安全 79
3.4.2 攻擊監(jiān)控與應(yīng)對(duì) 81
3.4.3 實(shí)現(xiàn)持續(xù)的安全性 84
3.5 安全自動(dòng)化 84
3.5.1 實(shí)現(xiàn)自動(dòng)化 84
3.5.2 應(yīng)用安全測(cè)試 85
3.5.3 移動(dòng)應(yīng)用安全測(cè)試 85
3.5.4 基礎(chǔ)設(shè)施安全測(cè)試 86
3.6 云原生安全 87
3.6.1 云原生安全的定義 87
3.6.2 Gartner 的云安全體系 87
3.6.3 云原生應(yīng)用的供應(yīng)鏈安全 88
3.6.4 容器技術(shù)安全基準(zhǔn) 88
3.6.5 混沌工程思想 89
3.6.6 云上安全部署 92
3.6.7 灰度發(fā)布 97
3.7 零信任網(wǎng)絡(luò)安全 98
3.7.1 零信任 99
3.7.2 微隔離 99
3.8 安全度量 102
3.8.1 軟件安全成熟度發(fā)展史 102
3.8.2 軟件安全構(gòu)建成熟度模型 103
3.8.3 可信研發(fā)運(yùn)營安全能力成熟度模型 106
第4章 DevSecOps 平臺(tái)設(shè)計(jì)與工具應(yīng)用 118
4.1 DevSecOps 模型設(shè)計(jì) 118
4.1.1 概念模型 118
4.1.2 分層模型 118
4.1.3 架構(gòu)模型 119
4.2 DevSecOps 工具鏈設(shè)計(jì) 120
4.2.1 計(jì)劃階段 121
4.2.2 創(chuàng)建階段 121
4.2.3 驗(yàn)證階段 121
4.2.4 準(zhǔn)生產(chǎn)階段 122
4.2.5 發(fā)布階段 123
4.2.6 配置階段 123
4.2.7 檢測(cè)階段 123
4.2.8 響應(yīng)階段 124
4.2.9 預(yù)報(bào)階段 124
4.2.10 調(diào)整階段 124
4.3 代碼安全托管與代碼安全 125
4.3.1 高可用的 GitLab 125
4.3.2 代碼安全托管 130
4.3.3 SAST 134
4.4 開源組件管理與開源治理 137
4.4.1 SCA 工具選型 137
4.4.2 SCA 工具應(yīng)用 141
4.4.3 開源治理體系與平臺(tái)建設(shè) 144
4.5 API 安全防護(hù) 145
4.5.1 API 安全防護(hù)措施 146
4.5.2 API 安全工具 146
4.6 制品庫管理 147
4.6.1 制品與制品庫 147
4.6.2 制品庫管理需要解決的問題 147
4.6.3 制品庫管理要求 148
4.7 原生安全防護(hù) 148
4.7.1 原生主機(jī)安全 148
4.7.2 原生容器安全 150
4.7.3 原生應(yīng)急響應(yīng)和取證 151
4.8 DAST 153
OWASP ZAP 154
4.9 IAST 154
4.9.1 IAST 的檢測(cè)方式 154
4.9.2 IAST 的漏洞發(fā)現(xiàn)能力 155
4.9.3 IAST 工具的基本能力要求 155
4.9.4 IAST 與 DevSecOps 流程的整合 156
4.9.5 IAST 與 SCA 工具的集成 156
4.10 RASP 157
4.10.1 RASP 技術(shù)原理 158
4.10.2 OpenRASP 158
4.10.3 RASP 與 DevSecOps 流程的整合 159
4.11 入侵與攻擊模擬 160
4.11.1 人工滲透測(cè)試的限制 160
4.11.2 云滲透測(cè)試 161
4.11.3 紫隊(duì) 161
4.11.4 自動(dòng)化入侵與攻擊模擬 162
4.11.5 有效的入侵與攻擊模擬 163
4.11.6 XM Cyber 163
4.12 以安全為中心的流量分析 164
4.12.1 網(wǎng)絡(luò)安全監(jiān)控需求 164
4.12.2 DPI 164
4.12.3 基于 nDPI 的流量處理 165
4.12.4 應(yīng)用場(chǎng)景 166
4.12.5 云原生安全網(wǎng)格平臺(tái) 166
4.13 混沌工程 169
4.13.1 生產(chǎn)環(huán)境中的問題 169
4.13.2 實(shí)施混沌工程的原則 169
4.13.3 混沌工程測(cè)試平臺(tái)能力 170
4.13.4 混沌工程工具 170
4.14 網(wǎng)絡(luò)安全演練 171
4.15 全鏈路壓測(cè) 172
4.15.1 性能測(cè)試的新挑戰(zhàn) 172
4.15.2 全鏈路壓測(cè)技術(shù) 172
4.15.3 監(jiān)控分析技術(shù) 173
4.15.4 開源全鏈路壓測(cè)平臺(tái)Takin 173
4.16 DevSecOps 平臺(tái)建設(shè)方法 174
4.16.1 “一站式”能力建設(shè) 174
4.16.2 “云平臺(tái)+開源軟件”的DevSecOps 框架構(gòu)建 174
4.16.3 構(gòu)建“黃金管道” 175
4.16.4 人工智能與 DevSecOps 176
4.17 基于 GitLab 集成工具鏈實(shí)現(xiàn) DevSecOps 176
4.17.1 GitLab 集成工具鏈實(shí)現(xiàn)安全的 DevOps 177
4.17.2 GitLab 集成工具鏈實(shí)現(xiàn) GitOps 模式 183
第5章 實(shí)踐案例 186
5.1 某企業(yè)持續(xù)集成項(xiàng)目 186
5.1.1 項(xiàng)目背景 186
5.1.2 解決方案 186
5.2 某電網(wǎng)公司 DevSecOps 體系建設(shè) 189
5.2.1 背景 189
5.2.2 體系設(shè)計(jì)方法 189
5.2.3 需求分析 190
5.2.4 總體設(shè)計(jì)目標(biāo) 191
5.2.5 核心設(shè)計(jì)內(nèi)容 191
5.2.6 專題設(shè)計(jì) 193
5.3 某電信運(yùn)營商公司 DevOps 平臺(tái)規(guī)劃 202
5.3.1 平臺(tái)建設(shè)目標(biāo) 202
5.3.2 平臺(tái)建設(shè)范圍 203
5.3.3 平臺(tái)需求分析和規(guī)劃設(shè)計(jì) 203
5.3.4 平臺(tái)技術(shù)實(shí)現(xiàn)方案 209
5.4 雙模發(fā)布管理平臺(tái)的設(shè)計(jì)與應(yīng)用 213
5.4.1 產(chǎn)生背景 213
5.4.2 雙模發(fā)布管理平臺(tái)設(shè)計(jì) 215
5.4.3 案例及功能說明 217