目录
前言
作为开发者,对于编程语言并不陌生,随着技术圈的不断进步和发展,越来越多的编程语言诞生和问世。开发者们更喜欢稳定、好用、强大的编程语言,因为可以解决很多问题,也很稳定。DevSecOps是一种将安全集成到软件开发和运营过程中的方法。它旨在通过在整个软件开发生命周期中实施安全措施来提高软件的安全性。DevSecOps的核心原则是将安全责任从安全团队转移到开发和运营团队,并通过自动化和协作来提高安全效率。那么本文就来分享一下DevSecOps,并探讨它在实际开发中的应用。
DevSecOps原理
先来了解一下DevSecOps的原理,其实DevSecOps的原理是将安全集成到软件开发和运营过程的各个阶段,包括:
- 需求阶段:在需求阶段,安全团队应与开发团队合作,以确保安全需求被纳入到软件需求中。
- 设计阶段:在设计阶段,安全团队应与开发团队合作,以确保软件设计符合安全要求。
- 开发阶段:在开发阶段,安全团队应与开发团队合作,以确保软件代码符合安全要求。
- 测试阶段:在测试阶段,安全团队应与测试团队合作,以确保软件能够检测和防御安全漏洞。
- 部署阶段:在部署阶段,安全团队应与运营团队合作,以确保软件在生产环境中安全部署。
- 运营阶段:在运营阶段,安全团队应与运营团队合作,以确保软件在生产环境中安全运行。
DevSecOps核心技术
再来了解一下DevSecOps的核心技术,主要包括:
- 自动化:自动化是DevSecOps的关键,它可以帮助企业在整个软件开发生命周期中实施安全措施。
- 协作:协作是DevSecOps的另一个关键,它可以帮助企业在安全团队、开发团队和运营团队之间建立有效的沟通和协作机制。
- 安全工具:安全工具是DevSecOps的重要组成部分,它可以帮助企业检测和防御安全漏洞。
DevSecOps实战
再来分享一下关于DevSecOps实战,以下分享几个关于DevSecOps实战的例子,具体如下所示:
- 谷歌:谷歌在2007年就开始实施DevSecOps,并取得了巨大的成功。谷歌的安全团队与开发团队和运营团队紧密合作,并使用自动化工具来实施安全措施。
- 亚马逊:亚马逊在2010年开始实施DevSecOps,并取得了巨大的成功。亚马逊的安全团队与开发团队和运营团队紧密合作,并使用自动化工具来实施安全措施。
- 微软:微软在2012年开始实施DevSecOps,并取得了巨大的成功。微软的安全团队与开发团队和运营团队紧密合作,并使用自动化工具来实施安全措施。
关于《DevSecOps原理、核心技术与实战》
接下来给大家推荐一本关于DevSecOps的书籍,这是一本想要入门DevSecOps的开发者离不开的干货图书,一经上市就登上了当当“计算机与互联网”图书排行榜前列。本书从DevSecOps原理到实战,助你在DevSecOps领域取得成功!另外,关注本文博主,点赞+收藏本文,且在本文评论区评论“我要入门DevSecOps”,将选取三名幸运读者送出纸质版《DevSecOps原理、核心技术与实战》一本,截止时间:2024.04.06。入手《DevSecOps原理、核心技术与实战》传送门:《DevSecOps原理、核心技术与实战》(钱君生 章亮 编著)【简介_书评_在线阅读】 - 当当图书或者 《DevSecOps原理、核心技术与实战》(钱君生,章亮)【摘要 书评 试读】- 京东图书,个人觉得这本书非常的不错,是一本不可多得的好书,值得拥有去学习。
编辑推荐
《DevSecOps原理、核心技术与实战》融合了信息安全行业资深技术专家十多年一线实战经验,采用理论和实践相结合的模式,基于Git GitLab Jekins等开源生态系统,围绕软件研发生命周期的各个环节,从需求、开发、构建、部署及发布,形成自动化构建、自动化部署的作业流水线,并结合自动化运维、基础设施代码化和容器化技术,介绍安全技术与研发自动化流水线的融合细节,帮助读者快速构建DevSecOps技术在企业的应用与落地。语言简练、内容实用,难点处配有二维码视频,使读者身临其境,迅速、深入地掌握各种经验和技巧。
内容简介
《DevSecOps原理、核心技术与实战》以DevSecOps体系架构为基础,围绕GitOps开源生态,重点介绍DevSecOps平台建设和技术实现细节,从黄金管道、安全工具链、周边生态系统三个方面入手,为读者介绍各种安全工具与黄金管道的集成,以及基于黄金管道之上的安全自动化与安全运营。通过阅读本书,读者可以全面了解DevSecOps技术的全貌,同时,熟悉开展DevSecOps实践和管理运营所需的知识体系,是一本普适性的、基于容器化和云原生技术的DevSecOps实践指南。
《DevSecOps原理、核心技术与实战》为读者提供了全部案例源代码下载和高清学习视频,读者可以直接扫描二维码观看。
《DevSecOps原理、核心技术与实战》适用于网络安全人员、DevOps/DevSecOps布道师、软件开发人员、系统架构师、基础架构运维工程师、质量工程师,以及高等院校对DevSecOps安全感兴趣的学生和研究人员。
作者简介
钱君生 科大讯飞集团安全技术专家,十余年行业工作经验,主要负责安全平台研发、DevSecOps、安全防护体系、团队建设等工作,具备丰富的互联网安全一线实战经验,曾编写开源网络安全图书《Burp Suite实战指南》。
章亮,硕士,毕业于华侨大学,先后在趋势科技(中国)、科大讯飞从事病毒分析、深度学习在威胁检测中的应用、移动APP合规治理等工作。现任职于长鑫存储。
图书目录
序
前言
第1部分DevSecOps体系概要
第1章什么是真正的DevSecOps
1.1DevSecOps定义
1.1.1DevSecOps的基本概念
1.1.2DevSecOps的核心理念
1.1.3DevSecOps的重要组成
1.2DevSecOps发展历史
1.2.1DevSecOps发展关键里程碑
1.2.2影响DevSecOps发展的关键因素
1.2.3DevSecOps未来的发展趋势
1.3DevSecOps参考模型
1.3.1DevOps组织型模型
1.3.2Gartner普适性模型
1.3.3DoD实践型模型
1.4DevSecOps核心流程
1.4.1DevSecOps核心流程基本组成
1.4.2DevSecOps核心流程典型场景
1.5小结
第2章DevSecOps体系管理
2.1DevSecOps成熟度模型
2.1.1GSA DevSecOps成熟度模型
2.1.2OWASP DevSecOps成熟度模型2.2DevSecOps度量指标
2.2.1指标概览
2.2.2必选指标
2.2.3可选指标
2.3DevSecOps建设规划
2.3.1实际可达的演化路径
2.3.2中小型企业DevSecOps建设
2.3.3大中型企业DevSecOps建设
2.4小结
第2部分DevSecOps平台架构及其组件
第3章DevSecOps平台架构
3.1DevSecOps平台需求
3.1.1为什么要开展DevSecOps平台建设
3.1.2DevSecOps平台建设需求来源
3.2DevSecOps平台架构组成
3.3实验级DevSecOps学习平台
3.3.1DevSecOps Studio平台架构及组件
3.3.2DevSecOps Studio安装与基本使用
3.4企业级DevSecOps平台架构
3.4.1微软云Azure DevSecOps平台架构
3.4.2亚马逊云AWS DevSecOps平台架构
3.4.3互联网企业私有化DevSecOps平台典型架构
3.5小结
第4章持续集成与版本控制
4.1持续集成与版本控制相关概念
4.1.1持续集成基本概念
4.1.2版本控制基本概念
4.1.3其他基本概念
4.2持续集成流程主要系统构成
4.2.1版本控制系统
4.2.2编译构建系统
4.2.3编排调度系统
4.2.4其他相关系统4.3持续集成流水线
4.3.1典型操作流程和使用场景
4.3.2基于GitHub的持续集成流水线
4.3.3基于JenkinsGitLab CI的持续集成流水线
4.4小结
第5章持续交付与持续部署
5.1持续交付与持续部署相关概念
5.1.1持续交付基本概念
5.1.2持续部署基本概念
5.1.3其他相关概念
5.2持续交付持续部署流程主要系统构成
5.2.1镜像容器管理系统
5.2.2配置管理系统
5.2.3运维发布管理系统
5.3持续交付持续部署流水线
5.3.1典型操作流程和使用场景
5.3.2基于GitHub Docker的持续交付持续部署流水线
5.3.3基于Jenkins Docker K8s的持续交付持续部署流水线
5.4小结
第6章安全工具链及其周边生态
6.1安全工具链在平台中的定位
6.1.1分层定位
6.1.2集成概览
6.2安全工具链分类
6.2.1威胁建模类
6.2.2静态安全检测类
6.2.3动态安全检测类
6.2.4交互式安全检测类
6.2.5运行时应用自我保护类
6.3主流安全工具简介
6.3.1Fortify代码安全检测
6.3.2Checkmarx代码安全检测
6.3.3AWVS漏洞安全检测
6.3.4Nessus漏洞安全检测
6.3.5OpenRASP运行时安全防护6.3.6DongTai交互式漏洞安全检测
6.3.7WAF应用程序防火墙
6.4典型周边生态系统
6.5小结
第3部分DevSecOps流水线及落地实践
第7章代码安全与软件工厂
7.1定义切合实际的DevSecOps流水线
7.1.1典型代码安全DevSecOps流水线形态
7.1.2选择DevSecOps流水线上的代码安全工具
7.2构建DevSecOps软件工厂
7.2.1典型DevSecOps软件工厂组成结构
7.2.2典型DevSecOps软件工厂生产流水线
7.3集成代码安全工具链
7.3.1SonarQube集成
7.3.2Fortify集成
7.4代码安全运营与管理
7.4.1代码安全检测的关键策略
7.4.2漏洞修复的关键策略
7.4.3代码安全度量指标
7.5小结
第8章组件安全与持续构建
8.1定义安全可信的基础仓库
8.1.1组件依赖仓库周边协作关系
8.1.2组件依赖仓库架构
8.1.3组件仓库技术选型
8.2选择恰当的构建安全工具
8.2.1加壳加固类工具
8.2.2成分分析类工具
8.2.3数字签名类工具
8.2.4安全编译参数
8.3集成构建安全工具链
8.3.1Dependency Check与流水线集成
8.3.2安全编译关键设置与流水线集成8.4组件安全运营与管理
8.4.1统一网络出口和流程管控
8.4.2形成组件更新与迭代机制
8.4.3组件选型收敛和漏洞闭环
8.5小结
第9章安全测试与持续集成
9.1定义不同的安全测试工具组合
9.1.1安全测试工具组合的作用
9.1.2安全测试工具的选择
9.1.3典型安全测试工具组合流程
9.2集成黑盒安全检测工具
9.2.1动态安全检测工具集成特点
9.2.2OWASP ZAP流水线集成与使用
9.2.3Nessus流水线集成与使用
9.3整合安全工具与漏洞运营
9.3.1持续集成中安全工具的整合
9.3.2安全漏洞收敛与度量
9.4小结
第10章基线加固与容器安全
10.1定义基线加固和安全镜像
10.1.1安全基线的选择
10.1.2安全基线和镜像的维护
10.1.3镜像制作与镜像仓库
10.2集成容器安全工具链
10.2.1Trivy容器镜像扫描工具
10.2.2K8s基线检测工具
10.3融入DevSecOps黄金管道
10.3.1Trivy与流水线集成
10.3.2Kube-Bench与流水线集成
10.4小结
第11章基础设施与安全运营
11.1基础设施即代码(IaC)
11.1.1通过配置管理消减基础设施风险
11.1.2遵循基础设施安全实践11.1.3保障IaC自身安全
11.2集成基础设施安全工具链
11.2.1基
书中前言/序言
这是一本介绍DevSecOps平台技术原理及技术实现的书。
在过去的几十年里,互联网行业发生了翻天覆地的变化,这种变化给人们的日常生活带来巨大改变的同时,也带来了互联网行业自身生产方式的变革。尤其是在IT信息化系统的生产模式上,研发生产从初的瀑布模型,到后来的敏捷开发模型,直到今天为业界所提倡的DevOps模型。研发模型在市场和技术的双重影响下,不断地发展,以适应时代的变化。近些年随着网络空间安全越来越受到各个行业的重视,基于DevOps模型之上的DevSecOps模型也逐渐发展起来。
关于DevSecOps市面上介绍的资料很多,大多数从DevSecOps理论的角度阐述DevSecOps的概念,或者从工具销售、推广的角度去阐述如何单点地集成安全工具。本书主要基于Git GitLab Jekins等开源生态系统,围绕软件研发生命周期的各个环节,从需求、开发、构建、部署及发布,形成自动化构建、自动化部署的作业流水线,并结合自动化运维、基础设施代码化和容器化技术,如Chef、Ansible、Docker、K8s等,介绍安全技术与研发自动化流水线的融合细节,帮助读者快速构建DevSecOps技术在企业的应用与落地。
本书的主要内容和特色:
本书以DevSecOps从业人员的能力为基础,结合实际工作中DevSecOps实践所依赖的技术、方法论、工具,综合性地介绍DevSecOps平台技术与运营实践要点,是一本普适性的、基于容器化和云原生技术的DevSecOps实践指南。
全书共分为3个部分:
第1部分:DevSecOps体系概要(第1~2章),主要介绍DevSecOps发展历史、基本模型、概念、成熟度分级,以及整个DevSecOps视图中重要的组件构成。通过概要性的内容介绍,让读者迅速理解DevSecOps的全貌,把握重点,加深读者对DevSecOps知识体系的理解。
第2部分:DevSecOps平台架构及其组件 (第3~6章),以DevSecOps平台架构为基础,分别介绍架构组件中的CI/CD、安全工具链构成,对DevSecOps平台架构中的各个组件详细地展开讲述,揭秘其技术架构细节。
第3部分:DevSecOps流水线及落地实践 (第7~12章),基于DevSecOps平台架构,从代码安全、组件安全、自动化安全检测、容器安全、安全运营、移动App隐私合规等方面,综合介绍DevSecOps的实践与运营。本书读者对象:
本书适用于网络安全人员、DevOps/DevSecOps布道师、系统架构师、基础架构运维工程师、质量工程师以及高等院校对DevSecOps安全感兴趣的学生和研究人员。
网络安全人员,主要是从事SDL体系建设、应用安全、DevSecOps安全架构等相关人员,帮助此类人员快速建立DevSecOps知识脉络和技术框架。
DevOps/DevSecOps布道师,主要是从事DevOps/DevSecOps布道师专业岗位人员,在企业内部运用平台工具、教育宣导、赋能实践等方式开展安全实践。
系统架构师,主要是致力于提高系统安全性的架构师,帮助架构师从安全视角,审视系统架构、研发过程管理的安全治理策略。
基础架构运维工程师,帮助此类人员了解运维与安全如何融合,尤其是运维自动化和IaC的未来趋势以及演进方向。
质量工程师,帮助质量工程师从质量管理的视角,理解安全在DevOps流程中如何融合研发体系,如何利用平台能力提升整体效能。
高校学生和其他人员,了解DevSecOps知识体系及前期环境下的主流技术实现,快速熟悉DevSecOps从业人员的技能等。
感谢我们的家人,因编写本书少了很多陪伴他们的时间,感谢你们的理解和支持!
由于个人能力有限,错漏之处在所难免,欢迎广大读者朋友批评指正!
作者
《DevSecOps原理、核心技术与实战》全书速览
结束语
通过本文的分享讲解,想必读者对于DevSecOps又有了更深刻的了解和认识。总的来说,DevSecOps是一种将安全集成到软件开发和运营过程中的方法。它旨在通过在整个软件开发生命周期中实施安全措施来提高软件的安全性。DevSecOps的核心原则是将安全责任从安全团队转移到开发和运营团队,并通过自动化和协作来提高安全效率。最后,我们可以使用DevSecOps来实现高效的程序,通过学习和实践,我们可以提高自己的编程技能,并在实际开发中发挥更大的作用,让我们一起探索DevSecOps的奥秘吧!
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
