序前言部分DevSecOps体系概要章什么是真正的DevSecOps1.1DevSecOps定义1.1.1DevSecOps的基本概念1.1.2DevSecOps的核心理念1.1.3DevSecOps的重要组成1.2DevSecOps发展历史1.2.1DevSecOps发展关键里程碑1.2.2影响DevSecOps发展的关键因素1..DevSecOps未来的发展趋势1.3DevSecOps参考模型1.3.1DevOps组织型模型1.3.2Gartner普适模型1.3.3DoD实践型模型1.4DevSecOps核心流程1.4.1DevSecOps核心流程基本组成1.4.2DevSecOps核心流程典型场景1.5小结第2章DevSecOps体系管理2.1DevSecOps成熟度模型2.1.1GSA DevSecOps成熟度模型2.1.2OWASP DevSecOps成熟度模型2.2DevSecOps度量指标2.2.1指标概览2.2.2必选指标2..可选指标.DevSecO设规划..1实际可达的演化路径..2中小型企业DevSecO设..大中型企业DevSecO设2.4小结第2部分DevSecOps平台架构及其组件第3章DevSecOps平台架构3.1DevSecOps平台需求3.1.1为什么要开展DevSecO平台设3.1.2DevSecO平台设需求来源3.2DevSecOps平台架构组成3.3实验级DevSecOps学台3.3.1DevSecOps Studio平台架构及组件3.3.2DevSecOps Studio安装与基本使用3.4企业级DevSecOps平台架构3.4.1微软云Azure DevSecOps平台架构3.4.2云AWS DevSecOps平台架构3.4.3互联网企业私有化DevSecOps平台典型架构3.5小结第4章持续集成与版本控制4.1持续集成与版本控制相关概念4.1.1持续集成基本概念4.1.2版本控制基本概念4.1.3基本概念4.2持续集成流程主要系统构成4.2.1版本控制系统4.2.2编译构建系统4..编排调度系统4.2.4相关系统4.3持续集成流水线4.3.1典型操作流程和使用场景4.3.2基于GitHub的持续集成流水线4.3.3基于JenkinsGitLab CI的持续集成流水线4.4小结第5章持续交付与持续部署5.1持续交付与持续部署相关概念5.1.1持续交付基本概念5.1.2持续部署基本概念5.1.3相关概念5.2持续交付持续部署流程主要系统构成5.2.1镜像容器管理系统5.2.2配置管理系统5..运维发布管理系统5.3持续交付持续部署流水线5.3.1典型操作流程和使用场景5.3.2基于GitHub+Docker的持续交付持续部署流水线5.3.3基于Jenkins+Docker+K8s的持续交付持续部署流水线5.4小结第6章安全工具链及其周边生态6.1安全工具链在平台中的定位6.1.1分层定位6.1.2集成概览6.2安全工具链分类6.2.1威胁建模类6.2.2静态安全检测类6..动态安全检测类6.2.4交互式安全检测类6.2.5运行时应用自我保护类6.3主流安全工具简介6.3.1Fortify代码安全检测6.3.2Checkmarx代码安全检测6.3.3W漏洞安全检测6.3.4Nessus漏洞安全检测6.3.5OpenRASP运行时安全防护6.3.6DongTai交互式漏洞安全检测6.3.7WAF应用程序防火墙6.4典型周边生态系统6.5小结第3部分DevSecOps流水线及落地实践第7章代码安全与软件工厂7.1定义切合实际的DevSecOps流水线7.1.1典型代码安全DevSecOps流水线形态7.1.2选择DevSecOps流水线上的代码安全工具7.2构建DevSecOps软件工厂7.2.1典型DevSecOps软件工厂组成结构7.2.2典型DevSecOps软件工厂生产流水线7.3集成代码安全工具链7.3.1Sonarbe集成7.3.2Fortify集成7.4代码安全运营与管理7.4.1代码安全检测的关键策略7.4.2漏洞修复的关键策略7.4.3代码安全度量指标7.5小结第8章组件安全与持续构建8.1定义安全可信的基础仓库8.1.1组件依赖仓库周边协作关系8.1.2组件依赖仓库架构8.1.3组件仓库技术选型8.2选择恰当的构建安全工具8.2.1加壳加固类工具8.2.2成分分析类工具8..数字签名类工具8.2.4安全编译参数8.3集成构建安全工具链8.3.1Dependency Check与流水线集成8.3.2安全编译关键设置与流水线集成8.4组件安全运营与管理8.4.1统一网络出口和流程管控8.4.2形成组件更新与迭代机制8.4.3组件选型收敛和漏洞闭环8.5小结第9章安全测试与持续集成9.1定义不同的安全测试工具组合9.1.1安全测试工具组合的作用9.1.2安全测试工具的选择9.1.3典型安全测试工具组合流程9.2集成黑盒安全检测工具9.2.1动态安全检测工具集成特点9.2.2OWASP ZAP流水线集成与使用9..Nessus流水线集成与使用9.3整合安全工具与漏洞运营9.3.1持续集成中安全工具的整合9.3.2安全漏洞收敛与度量9.4小结0章基线加固与容器安全10.1定义基线加固和安全镜像10.1.1安全基线的选择10.1.2安全基线和镜像的维护10.1.3镜像制作与镜像仓库10.2集成容器安全工具链10.2.1Trivy容器镜像扫描工具10.2.2K8s基线检测工具10.3融入DevSecOps黄金管道10.3.1Trivy与流水线集成10.3.2Kube-Bench与流水线集成10.4小结1章基础设施与安全运营11.1基础设施即代码(IaC)11.1.1通过配置管理消减基础设施风险11.1.2遵循基础设施安全实践11.1.3保障IaC自身安全11.2集成基础设施安全工具链11.2.1基础设施安全自动化工具简介11.2.2使用Ansible Automation实现私有云基础设施安全自动化11..使用Chef Automate实现混合云基础设施安全自动化11.3不同组织类型的安全运营11.3.1防守型组织的安全运营11.3.2对抗型组织的安全运营11.3.3实战型组织的安全运营11.4小结2章移动App与合规治理12.1移动App合规需求来源12.1.1移动App个人信息保护历程12.1.2相关政策和法律法规12.1.3移动App生命周期12.2移动App隐私合规检测12.2.1检测逻辑剖析12.2.2基本信息检测12..应用行为检测12.2.4传输行为检测12.2.5存储行为检测1.与DevSecOps流水线集成1..1集成概览1..2关键安全卡点设置1..隐私合规管理工作流程1..4运营管理难点与策略12.4小结
钱君生科大讯飞集团安全技术专家,十余年行业工作经验,主要负责安全平台研发、DevSecOps、安全防护体系、团队建设等工作,具备丰富的互联网安全一线实战经验,曾编写开源网络安全图书《BurpSuite实战指南》。章亮,硕士,于华侨大学,先后在趋势科技(中国)、科大讯飞从事病毒分析、深度学习在威胁检测中的应用、移动APP合规治理等工作。现任职于长鑫存储。
非常抱歉,您前期未参加预订活动,
无法支付尾款哦!
