DevSecOps敏捷安全

14.2 DevSecOps敏捷安全技术演进

14.1.2 攻防对抗技术的升维——积极防御

14.1.1 软件供应链安全的矛与盾

14.1 DevSecOps敏捷安全趋势思考

第14章 DevSecOps敏捷安全趋势

第五部分 趋势与思考

13.4 总结

13.3.3 开源许可证风险应对

13.3.2 事件分析

13.3.1 事件概述

13.3 GPL3.0开源许可证侵权事件

13.2.3 SolarWinds供应链攻击事件防治

13.2.2 事件分析

13.2.1 事件概述

13.2 SolarWinds供应链攻击事件

13.1.4 开源安全治理

13.1.3 漏洞应急处置

13.1.2 漏洞利用原理

13.1.1 漏洞概述

13.1 Log4j 2.x远程代码执行漏洞

第13章 典型供应链漏洞及开源风险分析

12.6 总结

12.5.4 实施效益

12.5.3 建设内容

12.5.2 解决方案思路

12.5.1 企业痛点

12.5 开源治理落地实践案例

12.4.5 开源治理技术

12.4.4 DevSecOps下的开源治理

12.4.3 开源治理实践说明

12.4.2 开源治理目标

12.4.1 开源治理难点

12.4 开源治理

12.3.3 常见开源许可证

12.3.2 开源许可证分类

12.3.1 开源许可证概述

12.3 开源许可证分析

12.2.2 EAR对开源软件的规定

12.2.1 开源软件风险分析

12.2 开源软件安全

12.1.3 开源软件优缺点

12.1.2 开源软件现状

12.1.1 开源软件由来

12.1 开源软件

第12章 开源安全治理落地实践

11.6 总结

11.5.3 Grafeas开源计划

11.5.2 云安全共享责任模型

11.5.1 Google软件供应链安全框架SLSA

11.5 软件供应链安全最新趋势

11.4.3 软件分发过程供应链风险治理

11.4.2 SDLC供应链风险治理

11.4.1 体系构建

11.4 软件供应链风险治理

11.3.3 软件供应链的攻击类型

11.3.2 软件供应链攻击环节

11.3.1 软件供应链的风险面

11.3 软件供应链攻击风险

11.2.2 面临的挑战

11.2.1 安全现状分析

11.2 软件供应链安全现状及挑战

11.1 软件供应链生态系统

第11章 软件供应链安全

第四部分 DevSecOps与软件供应链安全

10.3 总结

10.2.3 Salesforce DevSecOps实践

10.2.2 Netflix DevSecOps实践

10.2.1 美国国防部DevSecOps实践

10.2 国际大型组织创新实践

10.1.5 某车联网企业DevSecOps实践

10.1.4 某互联网头部企业DevSecOps实践

10.1.3 某运营商DevSecOps实践

10.1.2 某券商DevSecOps实践

10.1.1 某国有银行DevSecOps实践

10.1 国内行业头部企业实践

第10章 DevSecOps落地实践案例

9.5 总结

9.4.2 云原生下的敏捷安全实践方案

9.4.1 云原生下的敏捷安全实践架构

9.4 云原生下的敏捷安全落地实践

9.3.3 对比分析

9.3.2 不同点

9.3.1 相同点

9.3 云原生安全与DevSecOps

9.2.2 云原生安全4C模型

9.2.1 云原生安全防护模型

9.2 云原生安全

9.1.2 云原生的核心技术

9.1.1 何为云原生

9.1 云原生概述

第9章 云原生应用场景敏捷安全探索

8.7 总结

8.6 建议及思考

8.5.7 代码审计工具安全

8.5.6 Kubernetes平台安全

8.5.5 容器运行安全

8.5.4 项目管理平台安全

8.5.3 代码托管平台安全

8.5.2 IaC安全

8.5.1 CI/CD平台安全

8.5 其他安全挑战

8.4.4 转型期的选择

8.4.3 安全开发方法论的选择

8.4.2 DevSecOps与SDL的关系

8.4.1 SDL与DevSecOps关系的误读

8.4 SDL向DevSecOps的转型

8.3.4 制订建设计划

8.3.3 考量建设尺度

8.3.2 找寻支持伙伴

8.3.1 现状评估

8.3 DevSecOps建设指导

8.2.4 安全度量和持续改进

8.2.3 安全技术和工具

8.2.2 安全流程

8.2.1 安全组织和文化

8.2 DevSecOps设计参考

8.1.3 技术工具

8.1.2 流程管控

8.1.1 组织文化

8.1 DevSecOps落地挑战

第8章 DevSecOps设计参考与建设指导

第三部分 DevSecOps落地实践

7.6 总结

7.5 敏捷安全度量实践框架

7.4.2 基于BSIMM12的分阶段度量模型设计参考

7.4.1 BSIMM12的安全活动和分级

7.4 基于BSIMM12的DevSecOps度量模型设计参考

7.3 成熟度模型对比分析

7.2.6 软件保证成熟度模型（SAMM）

7.2.5 系统安全工程能力成熟度模型（SSE-CMM）

7.2.4 软件安全构建成熟度模型（BSIMM）

7.2.3 OWASP DevSecOps成熟度模型

7.2.2 研发运营一体化（DevOps）能力成熟度模型

7.2.1 可信研发及运营安全能力成熟度模型

7.2 常见软件安全成熟度模型

7.1.2 安全度量与安全成熟度模型

7.1.1 敏捷安全度量的必要性和复杂性

7.1 DevSecOps度量实践的目标

第7章 DevSecOps敏捷安全度量

6.8 总结

6.7.5 容器安全技术实践

6.7.4 容器生命周期的安全问题

6.7.3 威胁矩阵

6.7.2 容器与云原生

6.7.1 容器与Kubernetes

6.7 容器和Kubernetes安全解析

6.6.6 多维度API风险管理

6.6.5 API安全技术价值

6.6.4 DevOps与API安全

6.6.3 API安全技术实践

6.6.2 API安全技术原理

6.6.1 API介绍

6.6 API安全技术解析

6.5.7 BAS方案总结

6.5.6 DevSecOps下的BAS落地实践

6.5.5 BAS与传统攻防技术的区别

6.5.4 BAS工作方式

6.5.3 BAS原理分析

6.5.2 BAS技术简介

6.5.1 背景介绍

6.5 BAS技术解析

6.4.5 SCA与软件供应链安全

6.4.4 DevSecOps下的SCA落地实践

6.4.3 SCA技术应用实践

6.4.2 SCA技术原理分析

6.4.1 SCA技术简介

6.4 SCA技术解析

6.3.2 RASP在DevOps中的应用

6.3.1 RASP技术概述

6.3 RASP技术解析

6.2.4 IAST DevOps全流程生态支持

6.2.3 IAST高可用和高并发支持

6.2.2 IAST全场景多核驱动

6.2.1 多语言支持的必要性

6.2 IAST技术解析

6.1.4 敏捷技术和安全管理

6.1.3 适合的敏捷安全技术

6.1.2 敏捷安全技术的构成要件

6.1.1 应用安全风险面

6.1 敏捷安全技术概述

第6章 DevSecOps敏捷安全技术

5.6 总结

5.5.3 NIST的DevSecOps项目

5.5.2 DoD的DevSecOps设计参考

5.5.1 GSA的DevSecOps指南

5.5 DevSecOps敏捷安全体系建设参考

5.4.10 改进阶段

5.4.9 预测阶段

5.4.8 响应阶段

5.4.7 检测阶段

5.4.6 预防阶段

5.4.5 发布阶段

5.4.4 预发布阶段

5.4.3 验证阶段

5.4.2 创建阶段

5.4.1 计划阶段

5.4 DevSecOps敏捷安全体系建设

5.3.3 DevSecOps持续进阶

5.3.2 DevSecOps三大要素

5.3.1 DevSecOps体系概述

5.3 DevSecOps敏捷安全体系设计

5.2.2 企业DevSecOps体系建设痛点

5.2.1 DevSecOps建设现状

5.2 DevSecOps敏捷安全体系建设难点

5.1 DevSecOps敏捷安全体系目标

第5章 DevSecOps敏捷安全体系

4.6 总结

4.5.2 国内监管

4.5.1 国际监管

4.5 DevSecOps敏捷安全现实意义

4.4.2 新一代积极防御技术

4.4.1 DevSecOps敏捷安全实践思想

4.4 DevSecOps敏捷安全架构

4.3.3 DevSecOps敏捷安全的优势

4.3.2 DevSecOps敏捷安全的关键特性

4.3.1 DevSecOps敏捷安全的理念

4.3 DevSecOps敏捷安全核心内涵

4.2.5 RSAC 2021重视软件供应链安全

4.2.4 RSAC 2020关注组织内部DevSecOps转型

4.2.3 RSAC 2019聚焦文化融合与实践效果度量

4.2.2 RSAC 2018首次引入Golden Pipeline概念

4.2.1 RSAC 2017定义DevSecOps

4.2 从RSAC看DevSecOps进化

4.1 DevSecOps敏捷安全起源

第4章 DevSecOps敏捷安全内涵

3.6 总结

3.5 DevOps面临的安全挑战

3.4 DevOps与敏捷开发的对比

3.3.4 DevOps的发展趋势

3.3.3 DevOps实践方法论

3.3.2 DevOps的核心要素

3.3.1 DevOps的发展历史

3.3 DevOps

3.2.3 敏捷开发方法论

3.2.2 敏捷开发的基本要义

3.2.1 敏捷开发的发展历史

3.2 敏捷开发

3.1.3 DevOps

3.1.2 敏捷开发

3.1.1 传统的瀑布式开发

3.1 开发模式的演进

第3章 敏捷开发与DevOps

第二部分 DevSecOps敏捷安全进阶

2.5 总结

2.4.4 敏捷开发的安全挑战

2.4.3 全流程漏洞管控方面

2.4.2 开源威胁治理方面

2.4.1 威胁建模方面

2.4 SDL体系建设面临的挑战

2.3.4 SDL体系建设实施技巧

2.3.3 安全开发工具建设

2.3.2 安全开发管理体系建设

2.3.1 安全开发团队建设

2.3 SDL体系建设

2.2.5 安全开发模型和框架对比分析

2.2.4 个人贡献——McGraw BSI模型

2.2.3 开放组织——OWASP CLASP模型

2.2.2 企业实践——微软SDL模型

2.2.1 政府组织——NIST SSDF

2.2 常见的SDL模型和框架

2.1 SDL概述

第2章 全面认识SDL

1.5 总结

1.4 安全左移在SDLC中的意义

1.3.3 开发安全关注点

1.3.2 国内外开发安全研究现状

1.3.1 开发安全概述

1.3 开发安全现状分析

1.2.5 废弃阶段的安全活动

1.2.4 运营阶段的安全活动

1.2.3 部署阶段的安全活动

1.2.2 开发阶段的安全活动

1.2.1 准备阶段的安全活动

1.2 SDLC中的阶段性安全活动

1.1.3 SDLC中的安全挑战

1.1.2 SDLC典型阶段

1.1.1 软件开发方式的革新与SDLC

1.1 软件开发与SDLC

第1章 初识开发安全

第一部分 开发安全入门

前言

推荐序二

推荐序一

推荐语

作者简介

版权信息

封面

封面

版权信息

作者简介

推荐语

推荐序一

推荐序二

前言

第一部分 开发安全入门

第1章 初识开发安全

1.1 软件开发与SDLC

1.1.1 软件开发方式的革新与SDLC

1.1.2 SDLC典型阶段

1.1.3 SDLC中的安全挑战

1.2 SDLC中的阶段性安全活动

1.2.1 准备阶段的安全活动

1.2.2 开发阶段的安全活动

1.2.3 部署阶段的安全活动

1.2.4 运营阶段的安全活动

1.2.5 废弃阶段的安全活动

1.3 开发安全现状分析

1.3.1 开发安全概述

1.3.2 国内外开发安全研究现状

1.3.3 开发安全关注点

1.4 安全左移在SDLC中的意义

1.5 总结

第2章 全面认识SDL

2.1 SDL概述

2.2 常见的SDL模型和框架

2.2.1 政府组织——NIST SSDF

2.2.2 企业实践——微软SDL模型

2.2.3 开放组织——OWASP CLASP模型

2.2.4 个人贡献——McGraw BSI模型

2.2.5 安全开发模型和框架对比分析

2.3 SDL体系建设

2.3.1 安全开发团队建设

2.3.2 安全开发管理体系建设

2.3.3 安全开发工具建设

2.3.4 SDL体系建设实施技巧

2.4 SDL体系建设面临的挑战

2.4.1 威胁建模方面

2.4.2 开源威胁治理方面

2.4.3 全流程漏洞管控方面

2.4.4 敏捷开发的安全挑战

2.5 总结

第二部分 DevSecOps敏捷安全进阶

第3章 敏捷开发与DevOps

3.1 开发模式的演进

3.1.1 传统的瀑布式开发

3.1.2 敏捷开发

3.1.3 DevOps

3.2 敏捷开发

3.2.1 敏捷开发的发展历史

3.2.2 敏捷开发的基本要义

3.2.3 敏捷开发方法论

3.3 DevOps

3.3.1 DevOps的发展历史

3.3.2 DevOps的核心要素

3.3.3 DevOps实践方法论

3.3.4 DevOps的发展趋势

3.4 DevOps与敏捷开发的对比

3.5 DevOps面临的安全挑战

3.6 总结

第4章 DevSecOps敏捷安全内涵

4.1 DevSecOps敏捷安全起源

4.2 从RSAC看DevSecOps进化

4.2.1 RSAC 2017定义DevSecOps

4.2.2 RSAC 2018首次引入Golden Pipeline概念

4.2.3 RSAC 2019聚焦文化融合与实践效果度量

4.2.4 RSAC 2020关注组织内部DevSecOps转型

4.2.5 RSAC 2021重视软件供应链安全

4.3 DevSecOps敏捷安全核心内涵

4.3.1 DevSecOps敏捷安全的理念

4.3.2 DevSecOps敏捷安全的关键特性

4.3.3 DevSecOps敏捷安全的优势

4.4 DevSecOps敏捷安全架构

4.4.1 DevSecOps敏捷安全实践思想

4.4.2 新一代积极防御技术

4.5 DevSecOps敏捷安全现实意义

4.5.1 国际监管

4.5.2 国内监管

4.6 总结

第5章 DevSecOps敏捷安全体系

5.1 DevSecOps敏捷安全体系目标

5.2 DevSecOps敏捷安全体系建设难点

5.2.1 DevSecOps建设现状

5.2.2 企业DevSecOps体系建设痛点

5.3 DevSecOps敏捷安全体系设计

5.3.1 DevSecOps体系概述

5.3.2 DevSecOps三大要素

5.3.3 DevSecOps持续进阶

5.4 DevSecOps敏捷安全体系建设

5.4.1 计划阶段

5.4.2 创建阶段

5.4.3 验证阶段

5.4.4 预发布阶段

5.4.5 发布阶段

5.4.6 预防阶段

5.4.7 检测阶段

5.4.8 响应阶段

5.4.9 预测阶段

5.4.10 改进阶段

5.5 DevSecOps敏捷安全体系建设参考

5.5.1 GSA的DevSecOps指南

5.5.2 DoD的DevSecOps设计参考

5.5.3 NIST的DevSecOps项目

5.6 总结

第6章 DevSecOps敏捷安全技术

6.1 敏捷安全技术概述

6.1.1 应用安全风险面

6.1.2 敏捷安全技术的构成要件

6.1.3 适合的敏捷安全技术

6.1.4 敏捷技术和安全管理

6.2 IAST技术解析

6.2.1 多语言支持的必要性

6.2.2 IAST全场景多核驱动

6.2.3 IAST高可用和高并发支持

6.2.4 IAST DevOps全流程生态支持

6.3 RASP技术解析

6.3.1 RASP技术概述

6.3.2 RASP在DevOps中的应用

6.4 SCA技术解析

6.4.1 SCA技术简介

6.4.2 SCA技术原理分析

6.4.3 SCA技术应用实践

6.4.4 DevSecOps下的SCA落地实践

6.4.5 SCA与软件供应链安全

6.5 BAS技术解析

6.5.1 背景介绍

6.5.2 BAS技术简介

6.5.3 BAS原理分析

6.5.4 BAS工作方式

6.5.5 BAS与传统攻防技术的区别

6.5.6 DevSecOps下的BAS落地实践

6.5.7 BAS方案总结

6.6 API安全技术解析

6.6.1 API介绍

6.6.2 API安全技术原理

6.6.3 API安全技术实践

6.6.4 DevOps与API安全

6.6.5 API安全技术价值

6.6.6 多维度API风险管理

6.7 容器和Kubernetes安全解析

6.7.1 容器与Kubernetes

6.7.2 容器与云原生

6.7.3 威胁矩阵

6.7.4 容器生命周期的安全问题

6.7.5 容器安全技术实践

6.8 总结

第7章 DevSecOps敏捷安全度量

7.1 DevSecOps度量实践的目标

7.1.1 敏捷安全度量的必要性和复杂性

7.1.2 安全度量与安全成熟度模型

7.2 常见软件安全成熟度模型

7.2.1 可信研发及运营安全能力成熟度模型

7.2.2 研发运营一体化（DevOps）能力成熟度模型

7.2.3 OWASP DevSecOps成熟度模型

7.2.4 软件安全构建成熟度模型（BSIMM）

7.2.5 系统安全工程能力成熟度模型（SSE-CMM）

7.2.6 软件保证成熟度模型（SAMM）

7.3 成熟度模型对比分析

7.4 基于BSIMM12的DevSecOps度量模型设计参考

7.4.1 BSIMM12的安全活动和分级

7.4.2 基于BSIMM12的分阶段度量模型设计参考

7.5 敏捷安全度量实践框架

7.6 总结

第三部分 DevSecOps落地实践

第8章 DevSecOps设计参考与建设指导

8.1 DevSecOps落地挑战

8.1.1 组织文化

8.1.2 流程管控

8.1.3 技术工具

8.2 DevSecOps设计参考

8.2.1 安全组织和文化

8.2.2 安全流程

8.2.3 安全技术和工具

8.2.4 安全度量和持续改进

8.3 DevSecOps建设指导

8.3.1 现状评估

8.3.2 找寻支持伙伴

8.3.3 考量建设尺度

8.3.4 制订建设计划

8.4 SDL向DevSecOps的转型

8.4.1 SDL与DevSecOps关系的误读

8.4.2 DevSecOps与SDL的关系

8.4.3 安全开发方法论的选择

8.4.4 转型期的选择

8.5 其他安全挑战

8.5.1 CI/CD平台安全

8.5.2 IaC安全

8.5.3 代码托管平台安全

8.5.4 项目管理平台安全

8.5.5 容器运行安全

8.5.6 Kubernetes平台安全

8.5.7 代码审计工具安全

8.6 建议及思考

8.7 总结

第9章 云原生应用场景敏捷安全探索

9.1 云原生概述

9.1.1 何为云原生

9.1.2 云原生的核心技术

9.2 云原生安全

9.2.1 云原生安全防护模型

9.2.2 云原生安全4C模型

9.3 云原生安全与DevSecOps

9.3.1 相同点

9.3.2 不同点

9.3.3 对比分析

9.4 云原生下的敏捷安全落地实践

9.4.1 云原生下的敏捷安全实践架构

9.4.2 云原生下的敏捷安全实践方案

9.5 总结

第10章 DevSecOps落地实践案例

10.1 国内行业头部企业实践

10.1.1 某国有银行DevSecOps实践

10.1.2 某券商DevSecOps实践

10.1.3 某运营商DevSecOps实践

10.1.4 某互联网头部企业DevSecOps实践

10.1.5 某车联网企业DevSecOps实践

10.2 国际大型组织创新实践

10.2.1 美国国防部DevSecOps实践

10.2.2 Netflix DevSecOps实践

10.2.3 Salesforce DevSecOps实践

10.3 总结

第四部分 DevSecOps与软件供应链安全

第11章 软件供应链安全

11.1 软件供应链生态系统

11.2 软件供应链安全现状及挑战

11.2.1 安全现状分析

11.2.2 面临的挑战

11.3 软件供应链攻击风险

11.3.1 软件供应链的风险面

11.3.2 软件供应链攻击环节

11.3.3 软件供应链的攻击类型

11.4 软件供应链风险治理

11.4.1 体系构建

11.4.2 SDLC供应链风险治理

11.4.3 软件分发过程供应链风险治理

11.5 软件供应链安全最新趋势

11.5.1 Google软件供应链安全框架SLSA

11.5.2 云安全共享责任模型

11.5.3 Grafeas开源计划

11.6 总结

第12章 开源安全治理落地实践

12.1 开源软件

12.1.1 开源软件由来

12.1.2 开源软件现状

12.1.3 开源软件优缺点

12.2 开源软件安全

12.2.1 开源软件风险分析

12.2.2 EAR对开源软件的规定

12.3 开源许可证分析

12.3.1 开源许可证概述

12.3.2 开源许可证分类

12.3.3 常见开源许可证

12.4 开源治理

12.4.1 开源治理难点

12.4.2 开源治理目标

12.4.3 开源治理实践说明

12.4.4 DevSecOps下的开源治理

12.4.5 开源治理技术

12.5 开源治理落地实践案例

12.5.1 企业痛点

12.5.2 解决方案思路

12.5.3 建设内容

12.5.4 实施效益

12.6 总结

第13章 典型供应链漏洞及开源风险分析

13.1 Log4j 2.x远程代码执行漏洞

13.1.1 漏洞概述

13.1.2 漏洞利用原理

13.1.3 漏洞应急处置

13.1.4 开源安全治理

13.2 SolarWinds供应链攻击事件

13.2.1 事件概述

13.2.2 事件分析

13.2.3 SolarWinds供应链攻击事件防治

13.3 GPL3.0开源许可证侵权事件

13.3.1 事件概述

13.3.2 事件分析

13.3.3 开源许可证风险应对

13.4 总结

第五部分 趋势与思考

第14章 DevSecOps敏捷安全趋势

14.1 DevSecOps敏捷安全趋势思考

14.1.1 软件供应链安全的矛与盾

14.1.2 攻防对抗技术的升维——积极防御

14.2 DevSecOps敏捷安全技术演进