DevSecOps原理、核心技术与实战

《DevSecOps原理、核心技术与实战》以DevSecOps体系架构为基础，围绕GitOps开源生态，重点介绍DevSecOps平台建设和技术实现细节，从黄金管道、安全工具链、周边生态系统三个方面入手，为读者介绍各种安全工具与黄金管道的集成，以及基于黄金管道之上的安全自动化与安全运营。通过阅读本书，读者可以全面了解DevSecOps技术的全貌，同时，熟悉开展DevSecOps实践和管理运营所需的知识体系，是一本普适性的、基于容器化和云原生技术的DevSecOps实践指南。
《DevSecOps原理、核心技术与实战》为读者提供了全部案例源代码下载和高清学习视频，读者可以直接扫描二维码观看。
《DevSecOps原理、核心技术与实战》适用于网络安全人员、DevOps/DevSecOps布道师、软件开发人员、系统架构师、基础架构运维工程师、质量工程师，以及高等院校对DevSecOps安全感兴趣的学生和研究人员。

钱君生
科大讯飞集团安全技术专家，十余年行业工作经验，主要负责安全平台研发、DevSecOps、安全防护体系、团队建设等工作，具备丰富的互联网安全一线实战经验，曾编写开源网络安全图书《Burp Suite实战指南》。
章亮，硕士，毕业于华侨大学，先后在趋势科技（中国）、科大讯飞从事病毒分析、深度学习在威胁检测中的应用、移动APP合规治理等工作。现任职于长鑫存储。

适读人群 ：网络安全人员、DevOps/DevSecOps布道师、软件开发人员、系统架构师、基础架构运维工程师、质量工程师，以及高等院校对DevSecOps安全感兴趣的学生和研究人员
《DevSecOps原理、核心技术与实战》融合了信息安全行业资深技术专家十多年一线实战经验，采用理论和实践相结合的模式，基于Git+GitLab+Jekins等开源生态系统，围绕软件研发生命周期的各个环节，从需求、开发、构建、部署及发布，形成自动化构建、自动化部署的作业流水线，并结合自动化运维、基础设施代码化和容器化技术，介绍安全技术与研发自动化流水线的融合细节，帮助读者快速构建DevSecOps技术在企业的应用与落地。语言简练、内容实用，难点处配有二维码视频，使读者身临其境，迅速、深入地掌握各种经验和技巧。

这是一本介绍DevSecOps平台技术原理及技术实现的书。
在过去的几十年里，互联网行业发生了翻天覆地的变化，这种变化给人们的日常生活带来巨大改变的同时，也带来了互联网行业自身生产方式的变革。尤其是在IT信息化系统的生产模式上，研发生产从最初的瀑布模型，到后来的敏捷开发模型，直到今天为业界所提倡的DevOps模型。研发模型在市场和技术的双重影响下，不断地发展，以适应时代的变化。近些年随着网络空间安全越来越受到各个行业的重视，基于DevOps模型之上的DevSecOps模型也逐渐发展起来。
关于DevSecOps市面上介绍的资料很多，大多数从DevSecOps理论的角度阐述DevSecOps的概念，或者从工具销售、推广的角度去阐述如何单点地集成安全工具。本书主要基于Git+GitLab+Jekins等开源生态系统，围绕软件研发生命周期的各个环节，从需求、开发、构建、部署及发布，形成自动化构建、自动化部署的作业流水线，并结合自动化运维、基础设施代码化和容器化技术，如Chef、Ansible、Docker、K8s等，介绍安全技术与研发自动化流水线的融合细节，帮助读者快速构建DevSecOps技术在企业的应用与落地。
本书的主要内容和特色:
本书以DevSecOps从业人员的必备能力为基础，结合实际工作中DevSecOps实践所依赖的技术、方法论、工具，综合性地介绍DevSecOps平台技术与运营实践要点，是一本普适性的、基于容器化和云原生技术的DevSecOps实践指南。
全书共分为3个部分：
第1部分：DevSecOps体系概要（第1~2章），主要介绍DevSecOps发展历史、基本模型、概念、成熟度分级，以及整个DevSecOps视图中重要的组件构成。通过概要性的内容介绍，让读者迅速理解DevSecOps的全貌，把握重点，加深读者对DevSecOps知识体系的理解。
第2部分：DevSecOps平台架构及其组件 （第3~6章），以DevSecOps平台架构为基础，分别介绍架构组件中的CI/CD、安全工具链构成，对DevSecOps平台架构中的各个组件详细地展开讲述，揭秘其技术架构细节。
第3部分：DevSecOps流水线及落地实践 （第7~12章），基于DevSecOps平台架构，从代码安全、组件安全、自动化安全检测、容器安全、安全运营、移动App隐私合规等方面，综合介绍DevSecOps的实践与运营。本书读者对象：
本书适用于网络安全人员、DevOps/DevSecOps布道师、系统架构师、基础架构运维工程师、质量工程师以及高等院校对DevSecOps安全感兴趣的学生和研究人员。
 网络安全人员，主要是从事SDL体系建设、应用安全、DevSecOps安全架构等相关人员，帮助此类人员快速建立DevSecOps知识脉络和技术框架。
 DevOps/DevSecOps布道师，主要是从事DevOps/DevSecOps布道师专业岗位人员，在企业内部运用平台工具、教育宣导、赋能实践等方式开展安全实践。
 系统架构师，主要是致力于提高系统安全性的架构师，帮助架构师从安全视角，审视系统架构、研发过程管理的安全治理策略。
 基础架构运维工程师，帮助此类人员了解运维与安全如何融合，尤其是运维自动化和IaC的未来趋势以及演进方向。
 质量工程师，帮助质量工程师从质量管理的视角，理解安全在DevOps流程中如何融合研发体系，如何利用平台能力提升整体效能。
 高校学生和其他人员，了解DevSecOps知识体系及前期环境下的主流技术实现，快速熟悉DevSecOps从业人员的必备技能等。
感谢我们的家人，因编写本书少了很多陪伴他们的时间，感谢你们的理解和支持！
由于个人能力有限，错漏之处在所难免，欢迎广大读者朋友批评指正！

作者

序
前言
第1部分DevSecOps体系概要
第1章什么是真正的DevSecOps
1.1DevSecOps定义
1.1.1DevSecOps的基本概念
1.1.2DevSecOps的核心理念
1.1.3DevSecOps的重要组成
1.2DevSecOps发展历史
1.2.1DevSecOps发展关键里程碑
1.2.2影响DevSecOps发展的关键因素
1.2.3DevSecOps未来的发展趋势
1.3DevSecOps参考模型
1.3.1DevOps组织型模型
1.3.2Gartner普适性模型
1.3.3DoD实践型模型
1.4DevSecOps核心流程
1.4.1DevSecOps核心流程基本组成
1.4.2DevSecOps核心流程典型场景
1.5小结
第2章DevSecOps体系管理
2.1DevSecOps成熟度模型
2.1.1GSA DevSecOps成熟度模型
2.1.2OWASP DevSecOps成熟度模型2.2DevSecOps度量指标
2.2.1指标概览
2.2.2必选指标
2.2.3可选指标
2.3DevSecOps建设规划
2.3.1实际可达的演化路径
2.3.2中小型企业DevSecOps建设
2.3.3大中型企业DevSecOps建设
2.4小结
第2部分DevSecOps平台架构及其组件
第3章DevSecOps平台架构
3.1DevSecOps平台需求
3.1.1为什么要开展DevSecOps平台建设
3.1.2DevSecOps平台建设需求来源
3.2DevSecOps平台架构组成
3.3实验级DevSecOps学习平台
3.3.1DevSecOps Studio平台架构及组件
3.3.2DevSecOps Studio安装与基本使用
3.4企业级DevSecOps平台架构
3.4.1微软云Azure DevSecOps平台架构
3.4.2亚马逊云AWS DevSecOps平台架构
3.4.3互联网企业私有化DevSecOps平台典型架构
3.5小结
第4章持续集成与版本控制
4.1持续集成与版本控制相关概念
4.1.1持续集成基本概念
4.1.2版本控制基本概念
4.1.3其他基本概念
4.2持续集成流程主要系统构成
4.2.1版本控制系统
4.2.2编译构建系统
4.2.3编排调度系统
4.2.4其他相关系统4.3持续集成流水线
4.3.1典型操作流程和使用场景
4.3.2基于GitHub的持续集成流水线
4.3.3基于JenkinsGitLab CI的持续集成流水线
4.4小结
第5章持续交付与持续部署
5.1持续交付与持续部署相关概念
5.1.1持续交付基本概念
5.1.2持续部署基本概念
5.1.3其他相关概念
5.2持续交付持续部署流程主要系统构成
5.2.1镜像容器管理系统
5.2.2配置管理系统
5.2.3运维发布管理系统
5.3持续交付持续部署流水线
5.3.1典型操作流程和使用场景
5.3.2基于GitHub+Docker的持续交付持续部署流水线
5.3.3基于Jenkins+Docker+K8s的持续交付持续部署流水线
5.4小结
第6章安全工具链及其周边生态
6.1安全工具链在平台中的定位
6.1.1分层定位
6.1.2集成概览
6.2安全工具链分类
6.2.1威胁建模类
6.2.2静态安全检测类
6.2.3动态安全检测类
6.2.4交互式安全检测类
6.2.5运行时应用自我保护类
6.3主流安全工具简介
6.3.1Fortify代码安全检测
6.3.2Checkmarx代码安全检测
6.3.3AWVS漏洞安全检测
6.3.4Nessus漏洞安全检测
6.3.5OpenRASP运行时安全防护6.3.6DongTai交互式漏洞安全检测
6.3.7WAF应用程序防火墙
6.4典型周边生态系统
6.5小结
第3部分DevSecOps流水线及落地实践
第7章代码安全与软件工厂
7.1定义切合实际的DevSecOps流水线
7.1.1典型代码安全DevSecOps流水线形态
7.1.2选择DevSecOps流水线上的代码安全工具
7.2构建DevSecOps软件工厂
7.2.1典型DevSecOps软件工厂组成结构
7.2.2典型DevSecOps软件工厂生产流水线
7.3集成代码安全工具链
7.3.1SonarQube集成
7.3.2Fortify集成
7.4代码安全运营与管理
7.4.1代码安全检测的关键策略
7.4.2漏洞修复的关键策略
7.4.3代码安全度量指标
7.5小结
第8章组件安全与持续构建
8.1定义安全可信的基础仓库
8.1.1组件依赖仓库周边协作关系
8.1.2组件依赖仓库架构
8.1.3组件仓库技术选型
8.2选择恰当的构建安全工具
8.2.1加壳加固类工具
8.2.2成分分析类工具
8.2.3数字签名类工具
8.2.4安全编译参数
8.3集成构建安全工具链
8.3.1Dependency Check与流水线集成
8.3.2安全编译关键设置与流水线集成8.4组件安全运营与管理
8.4.1统一网络出口和流程管控
8.4.2形成组件更新与迭代机制
8.4.3组件选型收敛和漏洞闭环
8.5小结
第9章安全测试与持续集成
9.1定义不同的安全测试工具组合
9.1.1安全测试工具组合的作用
9.1.2安全测试工具的选择
9.1.3典型安全测试工具组合流程
9.2集成黑盒安全检测工具
9.2.1动态安全检测工具集成特点
9.2.2OWASP ZAP流水线集成与使用
9.2.3Nessus流水线集成与使用
9.3整合安全工具与漏洞运营
9.3.1持续集成中安全工具的整合
9.3.2安全漏洞收敛与度量
9.4小结
第10章基线加固与容器安全
10.1定义基线加固和安全镜像
10.1.1安全基线的选择
10.1.2安全基线和镜像的维护
10.1.3镜像制作与镜像仓库
10.2集成容器安全工具链
10.2.1Trivy容器镜像扫描工具
10.2.2K8s基线检测工具
10.3融入DevSecOps黄金管道
10.3.1Trivy与流水线集成
10.3.2Kube-Bench与流水线集成
10.4小结
第11章基础设施与安全运营
11.1基础设施即代码（IaC）
11.1.1通过配置管理消减基础设施风险
11.1.2遵循基础设施安全最佳实践11.1.3保障IaC自身安全
11.2集成基础设施安全工具链
11.2.1基