《DevSecOps实战》内容简介

本书通过描述一家大型互联网企业和一家大型传统银行的DevSecOps转型的过程，帮助读者浅显易懂并且有代入感地了解如何将DevSecOps在企业内部落地和实践。基于各类行业特点的DevSecOps实施与落地方法，是本书的主要技术要点。
周纪海，英国伦敦帝国理工学院博士，拥有10年以上多家国际大型银行（巴克莱银行、汇丰银行等）和腾讯的DevOps/DevSecOps转型和落地的工作经验。从2018-2021年，在国内外30多个技术峰会、论坛和社区上分享过DevOps和DevSecOps经验。
周一帆，汇丰科技中国高级信息安全分析师、注册信息安全工程师、云安全工程师。在中国和新加坡拥有多年的金融科技与信息安全行业工作经验。目前主要从事应用系统架构安全审查、安全风险评估和DevSecOps的实施与落地工作。
马松松，腾讯安全专家，拥有13年基础安全领域的工作经验。目前团队主要负责研发漏洞管控相关的规范、流程以及自动化系统的建设和运营工作。自2019年开始关注和推动DevSecOps在腾讯内部的探索和落地。
陶芬，武汉大学信息安全专业硕士，在国内大型互联网公司百度工作十余年，负责企业内DevSecOps落地和数据安全能力建设以及运营实践。
杨伟强，汇丰科技中国信息安全部门总负责人，在大型跨国金融信息安全领域工作15年，主要研究方向包括安全开发、安全架构以及威胁建模等。

作品目录

作者简介
序
前言
第1章：DevSecOps的演进与落地思考
1.1、DevOps简介
1.2、DevSecOps简介
1.3、互联网行业推动DevSecOps的动机与目标
1.4、金融行业推动DevSecOps的动机与目标
1.5、总结
第2章：DevSecOps的实施解决方案和体系建设
2.1、DevSecOps现状调研
2.2、流程和方法论：敏捷开发与CI/CD
2.3、技术：工具与自动化
2.4、文化与组织结构
2.5、DevSecOps框架与模型的建立
2.6、总结
第3章：DevSecOps转型——从研发入手
3.1、安全意识和能力提升
3.2、安全编码
3.3、源代码管理和安全
3.4、持续集成
3.5、代码质量和安全分析
3.6、制品管理及安全
3.7、总结
第4章：持续测试和安全
4.1、持续测试——DevOps时代的高效测试之钥
4.2、测试执行提效之自动化测试
4.3、测试执行提效之精准测试
4.4、测试流程提效：迭代内测试
4.5、持续测试下的“左移”和“右移”
4.6、应用安全测试左移
4.7、DevSecOps影响着测试的方方面面
4.8、总结
第5章：业务与安全需求管理
5.1、业务功能需求管理
5.2、安全需求管理
5.3、总结
第6章：进一步左移——设计与架构
6.1、为什么需要微服务架构
6.2、微服务拆分与设计
6.3、微服务开发与组合：微服务开发框架
6.4、微服务改造：单体系统重构
6.5、安全设计与架构安全
6.6、快速检查表的使用
6.7、完整风险评估——威胁建模
6.8、合规性检查
6.9、总结
第7章：DevSecOps运维和线上运营
7.1、配置和环境管理
7.2、发布部署策略
7.3、持续监控和安全
7.4、日志分析
7.5、事件响应与业务的连续性
7.6、身份认证和访问控制
7.7、数据管理和安全
7.8、安全众测
7.9、红蓝对抗
7.10、DevOps平台的安全
7.11、RASP
7.12、总结
第8章：DevSecOps度量体系建设
8.1、持续反馈和度量驱动
8.2、度量指标的定义与成熟度模型
8.3、度量平台的建立、安全管控和可视化
8.4、度量实践常见的问题和误区
8.5、实践中如何正确使用度量
8.6、研发效能度量实践
8.7、总结
第9章：云原生场景下的DevSecOps应用
9.1、云原生带来的新变化
9.2、云原生DevSecOps实施流程
9.3、云原生DevSecOps相关安全工具
9.4、云原生DevSecOps的落地应用和演进趋势
9.5、总结
后记
参考文献