電子技術(shù)應(yīng)用網(wǎng)的朋友們大家好,好書(shū)推薦活動(dòng)第五彈來(lái)啦!
本次給大家?guī)?lái)的是:懸鏡安全創(chuàng)始人子芽大大的DevSecOps敏捷安全
本期幸運(yùn)讀者:來(lái)自上海市 普陀區(qū)的王凱先生!
王凱先生從事信息安全行業(yè),是第一個(gè)填寫(xiě)申請(qǐng)鏈接的讀者朋友,
并且王凱先生寫(xiě)了詳細(xì)的讀書(shū)計(jì)劃,并愿意分享讀書(shū)筆記在電子技術(shù)應(yīng)用網(wǎng)站博客。
再次恭喜來(lái)自上海的王凱先生,我們將于三日內(nèi)給您郵寄福利書(shū)籍,請(qǐng)注意查收。
本期送書(shū)規(guī)則:
1.點(diǎn)擊參加申請(qǐng)鏈接:點(diǎn)擊參加
2.需要添加電子技術(shù)應(yīng)用小編 AET小哥微信。
3.活動(dòng)時(shí)間:8.29-9.4號(hào),本次書(shū)籍?dāng)?shù)量有限,會(huì)從申請(qǐng)表中篩選幸運(yùn)觀(guān)眾并于9.4號(hào)在本帖公布。
4.需要愿意分享讀書(shū)筆記到電子技術(shù)應(yīng)用網(wǎng)站博客。
內(nèi)容要求:純?cè)瓌?chuàng)作品,是對(duì)本書(shū)的看法、評(píng)價(jià)、案例復(fù)現(xiàn)的經(jīng)過(guò)、思考,讀完以后對(duì)安全知識(shí)的感悟收獲,不能只是對(duì)原文內(nèi)容簡(jiǎn)要概況,摘抄截取。
AET小哥微信
書(shū)籍介紹:
這是一本體系化講解DevSecOps敏捷安全的實(shí)戰(zhàn)性著作,為企業(yè)應(yīng)對(duì)軟件開(kāi)發(fā)方式敏態(tài)化與軟件供應(yīng)鏈開(kāi)源化帶來(lái)的安全挑戰(zhàn)提供了解決之道,它能有效指導(dǎo)企業(yè)快速將安全能力完整嵌入整個(gè)DevOps體系,在保證業(yè)務(wù)研發(fā)效能的同時(shí)實(shí)現(xiàn)敏捷安全內(nèi)生和自成長(zhǎng)。
本書(shū)由國(guó)內(nèi)軟件供應(yīng)鏈安全領(lǐng)域領(lǐng)軍企業(yè)懸鏡安全創(chuàng)始人子芽出品,得到了企業(yè)界和學(xué)術(shù)界10位權(quán)威安全技術(shù)專(zhuān)家的聯(lián)袂推薦。主要的內(nèi)容及其特色如下:
體系創(chuàng)新:不僅對(duì)業(yè)界已有的DevSecOps理論和方法進(jìn)行了系統(tǒng)梳理,而且還分享了DevSecOps敏捷安全架構(gòu)、DevSecOps敏捷安全技術(shù)金字塔等大量來(lái)自懸鏡安全的創(chuàng)新理論和技術(shù),全面講解了DevSecOps敏捷安全的核心內(nèi)涵、架構(gòu)設(shè)計(jì)、體系建設(shè)、技術(shù)原理、度量方法、落地實(shí)踐;
注重實(shí)戰(zhàn):包含大量實(shí)踐原則、參考和落地方法,以及來(lái)自銀行、券商、運(yùn)營(yíng)商、互聯(lián)網(wǎng)、政府機(jī)構(gòu)等領(lǐng)域的一線(xiàn)落地實(shí)踐案例;
全球視野:立足于全球,對(duì)美國(guó)國(guó)防部、Netflix、Salesforce等機(jī)構(gòu)和企業(yè)的DevSecOps實(shí)踐進(jìn)行了逐一分析和解讀;
前瞻性強(qiáng):不僅講解了DevSecOps敏捷安全在云原生安全、軟件供應(yīng)鏈安全等熱點(diǎn)領(lǐng)域的落地實(shí)踐,而且展望了DevSecOps敏捷安全的發(fā)展趨勢(shì)和技術(shù)演進(jìn)方向。
作者簡(jiǎn)介:
子芽
懸鏡安全創(chuàng)始人兼CEO,OpenSCA開(kāi)源社區(qū)創(chuàng)始人,資深安全技術(shù)專(zhuān)家,擁有10年以上前沿安全技術(shù)研究實(shí)踐經(jīng)驗(yàn),具有國(guó)際視野和工程綜合創(chuàng)新能力的高端科技領(lǐng)軍人才。
長(zhǎng)期從事AI深度學(xué)習(xí)算法在持續(xù)威脅評(píng)估領(lǐng)域的研究,擁有多項(xiàng)原創(chuàng)發(fā)明專(zhuān)利授權(quán),曾承擔(dān)重大網(wǎng)絡(luò)安全項(xiàng)目和科研項(xiàng)目,首創(chuàng)的“DevSecOps智適應(yīng)威脅管理體系”已演進(jìn)至第三代,在產(chǎn)業(yè)界影響頗深。
中國(guó)信通院軟件供應(yīng)鏈安全社區(qū)首席安全專(zhuān)家,DSO敏捷安全大會(huì)出品人,北京大學(xué)國(guó)家獎(jiǎng)學(xué)金、優(yōu)秀科研獎(jiǎng)和光華獎(jiǎng)學(xué)金獲得者。
懸鏡安全
起源于北京大學(xué)網(wǎng)絡(luò)安全技術(shù)研究團(tuán)隊(duì)“XMIRROR”,創(chuàng)始人子芽。作為DevSecOps敏捷安全領(lǐng)域的領(lǐng)導(dǎo)者,始終專(zhuān)注于以代碼疫苗技術(shù)為核心,先后獲得紅杉資本、騰訊產(chǎn)業(yè)生態(tài)投資、源碼資本和GGV紀(jì)源資本的持續(xù)加持,并通過(guò)原創(chuàng)專(zhuān)利級(jí)“全流程軟件供應(yīng)鏈安全賦能平臺(tái) 敏捷安全工具鏈”的第三代DevSecOps智適應(yīng)威脅管理體系,持續(xù)幫助金融、車(chē)聯(lián)網(wǎng)、泛互聯(lián)網(wǎng)、能源等行業(yè)數(shù)千家企業(yè)構(gòu)筑起適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付的下一代積極防御體系。
讀者對(duì)象
CTO/CIO/CSO/CEO
應(yīng)用安全管理人員
應(yīng)用安全工程師
應(yīng)用安全架構(gòu)師
開(kāi)發(fā)、測(cè)試和運(yùn)營(yíng)人員
研發(fā)效能工程師
敏捷和研發(fā)效能教練
網(wǎng)絡(luò)安全和計(jì)算機(jī)專(zhuān)業(yè)的學(xué)生和教師
對(duì)敏捷安全和研發(fā)效能感興趣的其他人員
正文內(nèi)容摘要:
目錄:
前言
第一部分 開(kāi)發(fā)安全入門(mén)
第1章 初識(shí)開(kāi)發(fā)安全2
1.1 軟件開(kāi)發(fā)與SDLC2
1.1.1 軟件開(kāi)發(fā)方式的革新與SDLC2
1.1.2 SDLC典型階段3
1.1.3 SDLC中的安全挑戰(zhàn)4
1.2 SDLC中的階段性安全活動(dòng)5
1.2.1 準(zhǔn)備階段的安全活動(dòng)6
1.2.2 開(kāi)發(fā)階段的安全活動(dòng)7
1.2.3 部署階段的安全活動(dòng)8
1.2.4 運(yùn)營(yíng)階段的安全活動(dòng)9
1.2.5 廢棄階段的安全活動(dòng)9
1.3 開(kāi)發(fā)安全現(xiàn)狀分析9
1.3.1 開(kāi)發(fā)安全概述9
1.3.2 國(guó)內(nèi)外開(kāi)發(fā)安全研究現(xiàn)狀11
1.3.3 開(kāi)發(fā)安全關(guān)注點(diǎn)12
1.4 安全左移在SDLC中的意義13
1.5 總結(jié)14
第2章 全面認(rèn)識(shí)SDL15
2.1 SDL概述15
2.2 常見(jiàn)的SDL模型和框架16
2.2.1 政府組織—NIST SSDF16
2.2.2 企業(yè)實(shí)踐—微軟SDL模型17
2.2.3 開(kāi)放組織—OWASP CLASP模型18
2.2.4 個(gè)人貢獻(xiàn)—McGraw BSI模型19
2.2.5 安全開(kāi)發(fā)模型和框架對(duì)比分析21
2.3 SDL體系建設(shè)22
2.3.1 安全開(kāi)發(fā)團(tuán)隊(duì)建設(shè)22
2.3.2 安全開(kāi)發(fā)管理體系建設(shè)23
2.3.3 安全開(kāi)發(fā)工具建設(shè)25
2.3.4 SDL體系建設(shè)實(shí)施技巧30
2.4 SDL體系建設(shè)面臨的挑戰(zhàn)32
2.4.1 威脅建模方面32
2.4.2 開(kāi)源威脅治理方面33
2.4.3 全流程漏洞管控方面34
2.4.4 敏捷開(kāi)發(fā)的安全挑戰(zhàn)35
2.5 總結(jié)36
第二部分 DevSecOps敏捷安全進(jìn)階
第3章 敏捷開(kāi)發(fā)與DevOps38
3.1 開(kāi)發(fā)模式的演進(jìn)38
3.1.1 傳統(tǒng)的瀑布式開(kāi)發(fā)38
3.1.2 敏捷開(kāi)發(fā)40
3.1.3 DevOps41
3.2 敏捷開(kāi)發(fā)42
3.2.1 敏捷開(kāi)發(fā)的發(fā)展歷史42
3.2.2 敏捷開(kāi)發(fā)的基本要義42
3.2.3 敏捷開(kāi)發(fā)方法論43
3.3 DevOps49
3.3.1 DevOps的發(fā)展歷史49
3.3.2 DevOps的核心要素49
3.3.3 DevOps實(shí)踐方法論50
3.3.4 DevOps的發(fā)展趨勢(shì) 52
3.4 DevOps與敏捷開(kāi)發(fā)的對(duì)比53
3.5 DevOps面臨的安全挑戰(zhàn)55
3.6 總結(jié)55
第4章 DevSecOps敏捷安全內(nèi)涵56
4.1 DevSecOps敏捷安全起源56
4.2 從RSAC看DevSecOps進(jìn)化57
4.2.1 RSAC 2017定義DevSecOps57
4.2.2 RSAC 2018首次引入Golden Pipeline概念58
4.2.3 RSAC 2019聚焦文化融合與實(shí)踐效果度量60
4.2.4 RSAC 2020關(guān)注組織內(nèi)部DevSecOps轉(zhuǎn)型61
4.2.5 RSAC 2021重視軟件供應(yīng)鏈安全62
4.3 DevSecOps敏捷安全核心內(nèi)涵63
4.3.1 DevSecOps敏捷安全的理念63
4.3.2 DevSecOps敏捷安全的關(guān)鍵特性65
4.3.3 DevSecOps敏捷安全的優(yōu)勢(shì)66
4.4 DevSecOps敏捷安全架構(gòu)67
4.4.1 DevSecOps敏捷安全實(shí)踐思想68
4.4.2 新一代積極防御技術(shù)69
4.5 DevSecOps敏捷安全現(xiàn)實(shí)意義70
4.5.1 國(guó)際監(jiān)管70
4.5.2 國(guó)內(nèi)監(jiān)管74
4.6 總結(jié)79
第5章 DevSecOps敏捷安全體系80
5.1 DevSecOps敏捷安全體系目標(biāo)80
5.2 DevSecOps敏捷安全體系建設(shè)難點(diǎn)80
5.2.1 DevSecOps建設(shè)現(xiàn)狀80
5.2.2 企業(yè)DevSecOps體系建設(shè)痛點(diǎn)83
5.3 DevSecOps敏捷安全體系設(shè)計(jì)84
5.3.1 DevSecOps體系概述84
5.3.2 DevSecOps三大要素85
5.3.3 DevSecOps持續(xù)進(jìn)階96
5.4 DevSecOps敏捷安全體系建設(shè)97
5.4.1 計(jì)劃階段99
5.4.2 創(chuàng)建階段104
5.4.3 驗(yàn)證階段105
5.4.4 預(yù)發(fā)布階段107
5.4.5 發(fā)布階段109
5.4.6 預(yù)防階段109
5.4.7 檢測(cè)階段110
5.4.8 響應(yīng)階段112
5.4.9 預(yù)測(cè)階段113
5.4.10 改進(jìn)階段113
5.5 DevSecOps敏捷安全體系建設(shè)參考114
5.5.1 GSA的DevSecOps指南114
5.5.2 DoD的DevSecOps設(shè)計(jì)參考116
5.5.3 NIST的DevSecOps項(xiàng)目116
5.6 總結(jié)118
第6章 DevSecOps敏捷安全技術(shù)119
6.1 敏捷安全技術(shù)概述119
6.1.1 應(yīng)用安全風(fēng)險(xiǎn)面119
6.1.2 敏捷安全技術(shù)的構(gòu)成要件120
6.1.3 適合的敏捷安全技術(shù)122
6.1.4 敏捷技術(shù)和安全管理123
6.2 IAST技術(shù)解析124
6.2.1 多語(yǔ)言支持的必要性124
6.2.2 IAST全場(chǎng)景多核驅(qū)動(dòng)131
6.2.3 IAST高可用和高并發(fā)支持135
6.2.4 IAST DevOps全流程生態(tài)支持141
6.3 RASP技術(shù)解析144
6.3.1 RASP技術(shù)概述144
6.3.2 RASP在DevOps中的應(yīng)用153
6.4 SCA技術(shù)解析156
6.4.1 SCA技術(shù)簡(jiǎn)介156
6.4.2 SCA技術(shù)原理分析157
6.4.3 SCA技術(shù)應(yīng)用實(shí)踐164
6.4.4 DevSecOps下的SCA落地實(shí)踐165
6.4.5 SCA與軟件供應(yīng)鏈安全168
6.5 BAS技術(shù)解析169
6.5.1 背景介紹169
6.5.2 BAS技術(shù)簡(jiǎn)介169
6.5.3 BAS原理分析171
6.5.4 BAS工作方式172
6.5.5 BAS與傳統(tǒng)攻防技術(shù)的區(qū)別174
6.5.6 DevSecOps下的BAS落地實(shí)踐174
6.5.7 BAS方案總結(jié)176
6.6 API安全技術(shù)解析177
6.6.1 API介紹177
6.6.2 API安全技術(shù)原理178
6.6.3 API安全技術(shù)實(shí)踐180
6.6.4 DevOps與API安全181
6.6.5 API安全技術(shù)價(jià)值183
6.6.6 多維度API風(fēng)險(xiǎn)管理183
6.7 容器和Kubernetes安全解析184
6.7.1 容器與Kubernetes 184
6.7.2 容器與云原生184
6.7.3 威脅矩陣185
6.7.4 容器生命周期的安全問(wèn)題186
6.7.5 容器安全技術(shù)實(shí)踐188
6.8 總結(jié)199
第7章 DevSecOps敏捷安全度量201
7.1 DevSecOps度量實(shí)踐的目標(biāo)201
7.1.1 敏捷安全度量的必要性和復(fù)雜性201
7.1.2 安全度量與安全成熟度模型202
7.2 常見(jiàn)軟件安全成熟度模型202
7.2.1 可信研發(fā)及運(yùn)營(yíng)安全能力成熟度模型203
7.2.2 研發(fā)運(yùn)營(yíng)一體化(DevOps)能力成熟度模型205
7.2.3 OWASP DevSecOps成熟度模型207
7.2.4 軟件安全構(gòu)建成熟度模型(BSIMM)208
7.2.5 系統(tǒng)安全工程能力成熟度模型(SSE-CMM)210
7.2.6 軟件保證成熟度模型(SAMM)213
7.3 成熟度模型對(duì)比分析215
7.4 基于BSIMM12的DevSecOps度量模型設(shè)計(jì)參考217
7.4.1 BSIMM12的安全活動(dòng)和分級(jí)217
7.4.2 基于BSIMM12的分階段度量模型設(shè)計(jì)參考221
7.5 敏捷安全度量實(shí)踐框架223
7.6 總結(jié)224
第三部分 DevSecOps落地實(shí)踐
第8章 DevSecOps設(shè)計(jì)參考與建設(shè)指導(dǎo)226
8.1 DevSecOps落地挑戰(zhàn)226
8.1.1 組織文化227
8.1.2 流程管控228
8.1.3 技術(shù)工具228
8.2 DevSecOps設(shè)計(jì)參考229
8.2.1 安全組織和文化230
8.2.2 安全流程231
8.2.3 安全技術(shù)和工具232
8.2.4 安全度量和持續(xù)改進(jìn)233
8.3 DevSecOps建設(shè)指導(dǎo)236
8.3.1 現(xiàn)狀評(píng)估236
8.3.2 找尋支持伙伴237
8.3.3 考量建設(shè)尺度237
8.3.4 制訂建設(shè)計(jì)劃240
8.4 SDL向DevSecOps的轉(zhuǎn)型240
8.4.1 SDL與DevSecOps關(guān)系的誤讀240
8.4.2 DevSecOps與SDL的關(guān)系240
8.4.3 安全開(kāi)發(fā)方法論的選擇241
8.4.4 轉(zhuǎn)型期的選擇242
8.5 其他安全挑戰(zhàn)243
8.5.1 CI/CD平臺(tái)安全243
8.5.2 IaC安全244
8.5.3 代碼托管平臺(tái)安全247
8.5.4 項(xiàng)目管理平臺(tái)安全247
8.5.5 容器運(yùn)行安全247
8.5.6 Kubernetes平臺(tái)安全248
8.5.7 代碼審計(jì)工具安全248
8.6 建議及思考249
8.7 總結(jié)249
第9章 云原生應(yīng)用場(chǎng)景敏捷安全探索250
9.1 云原生概述250
9.1.1 何為云原生250
9.1.2 云原生的核心技術(shù)252
9.2 云原生安全255
9.2.1 云原生安全防護(hù)模型255
9.2.2 云原生安全4C模型262
9.3 云原生安全與DevSecOps266
9.3.1 相同點(diǎn)266
9.3.2 不同點(diǎn)267
9.3.3 對(duì)比分析267
9.4 云原生下的敏捷安全落地實(shí)踐268
9.4.1 云原生下的敏捷安全實(shí)踐架構(gòu)268
9.4.2 云原生下的敏捷安全實(shí)踐方案268
9.5 總結(jié)269
第10章 DevSecOps落地實(shí)踐案例271
10.1 國(guó)內(nèi)行業(yè)頭部企業(yè)實(shí)踐271
10.1.1 某國(guó)有銀行DevSecOps實(shí)踐271
10.1.2 某券商DevSecOps實(shí)踐275
10.1.3 某運(yùn)營(yíng)商DevSecOps實(shí)踐279
10.1.4 某互聯(lián)網(wǎng)頭部企業(yè)DevSecOps實(shí)踐283
10.1.5 某車(chē)聯(lián)網(wǎng)企業(yè)DevSecOps實(shí)踐286
10.2 國(guó)際大型組織創(chuàng)新實(shí)踐289
10.2.1 美國(guó)國(guó)防部DevSecOps實(shí)踐289
10.2.2 Netflix DevSecOps實(shí)踐294
10.2.3 Salesforce DevSecOps實(shí)踐298
10.3 總結(jié)304
第四部分 DevSecOps與軟件供應(yīng)鏈安全
第11章 軟件供應(yīng)鏈安全306
11.1 軟件供應(yīng)鏈生態(tài)系統(tǒng)306
11.2 軟件供應(yīng)鏈安全現(xiàn)狀及挑戰(zhàn)307
11.2.1 安全現(xiàn)狀分析307
11.2.2 面臨的挑戰(zhàn)309
11.3 軟件供應(yīng)鏈攻擊風(fēng)險(xiǎn)311
11.3.1 軟件供應(yīng)鏈的風(fēng)險(xiǎn)面311
11.3.2 軟件供應(yīng)鏈攻擊環(huán)節(jié)312
11.3.3 軟件供應(yīng)鏈的攻擊類(lèi)型315
11.4 軟件供應(yīng)鏈風(fēng)險(xiǎn)治理319
11.4.1 體系構(gòu)建319
11.4.2 SDLC供應(yīng)鏈風(fēng)險(xiǎn)治理319
11.4.3 軟件分發(fā)過(guò)程供應(yīng)鏈風(fēng)險(xiǎn)治理326
11.5 軟件供應(yīng)鏈安全最新趨勢(shì)329
11.5.1 Google軟件供應(yīng)鏈安全框架SLSA329
11.5.2 云安全共享責(zé)任模型330
11.5.3 Grafeas開(kāi)源計(jì)劃331
11.6 總結(jié)332
第12章 開(kāi)源安全治理落地實(shí)踐333
12.1 開(kāi)源軟件333
12.1.1 開(kāi)源軟件由來(lái)333
12.1.2 開(kāi)源軟件現(xiàn)狀335
12.1.3 開(kāi)源軟件優(yōu)缺點(diǎn)335
12.2 開(kāi)源軟件安全337
12.2.1 開(kāi)源軟件風(fēng)險(xiǎn)分析337
12.2.2 EAR對(duì)開(kāi)源軟件的規(guī)定339
12.3 開(kāi)源許可證分析339
12.3.1 開(kāi)源許可證概述339
12.3.2 開(kāi)源許可證分類(lèi)340
12.3.3 常見(jiàn)開(kāi)源許可證340
12.4 開(kāi)源治理343
12.4.1 開(kāi)源治理難點(diǎn)343
12.4.2 開(kāi)源治理目標(biāo)344
12.4.3 開(kāi)源治理實(shí)踐說(shuō)明344
12.4.4 DevSecOps下的開(kāi)源治理346
12.4.5 開(kāi)源治理技術(shù)348
12.5 開(kāi)源治理落地實(shí)踐案例355
12.5.1 企業(yè)痛點(diǎn)355
12.5.2 解決方案思路355
12.5.3 建設(shè)內(nèi)容357
12.5.4 實(shí)施效益360
12.6 總結(jié)361
第13章 典型供應(yīng)鏈漏洞及開(kāi)源風(fēng)險(xiǎn)分析362
13.1 Log4j 2.x遠(yuǎn)程代碼執(zhí)行漏洞362
13.1.1 漏洞概述362
13.1.2 漏洞利用原理362
13.1.3 漏洞應(yīng)急處置364
13.1.4 開(kāi)源安全治理365
13.2 SolarWinds供應(yīng)鏈攻擊事件368
13.2.1 事件概述368
13.2.2 事件分析368
13.2.3 SolarWinds供應(yīng)鏈攻擊事件防治370
13.3 GPL3.0開(kāi)源許可證侵權(quán)事件370
13.3.1 事件概述370
13.3.2 事件分析371
13.3.3 開(kāi)源許可證風(fēng)險(xiǎn)應(yīng)對(duì)371
13.4 總結(jié)372
第五部分 趨勢(shì)與思考
第14章 DevSecOps敏捷安全趨勢(shì)374
14.1 DevSecOps敏捷安全趨勢(shì)思考374
14.1.1 軟件供應(yīng)鏈安全的矛與盾374積極防御376
14.2 DevSecOps敏捷安全技術(shù)演進(jìn)378
14.3 總結(jié)382