DevSecOps 在 DevOps 的基础上融入**底线思维，是软件工程领域的前沿理论。本书系统地阐述企业实践 DevSecOps 所需的理论、技术和方法，首先从软件工程发展趋势，尤其是敏捷、DevOps 等领域的发展趋势出发，结合 DevOps best实践、DevSecOps 相关报告和标准，循序渐进地阐述 DevSecOps 理念；然后解读 DevSecOps best实践，根据 DevSecOps best实践涉及的**阶段和相关技术讲解平台设计与工具应用，并结合开源、云原生等领域的流行工具介绍 DevSecOps 工具链及平台建设方法；*后以作者的实战经验和业界的实践案例介绍 DevSecOps 的实施方法。

第 1章 DevOps 基础 1 1.1 从瀑布到敏捷，从敏捷到DevOps 1 1.1.1 软件的生产力 1 1.1.2 从瀑布到敏捷 1 1.1.3 DevOps 的源起 2 1.2 DevOps 的实践方法论 3 1.2.1 DevOps 的 3 个原则 3 1.2.2 DevOps 的 5 个理念 3 1.3 DevOps 解决的问题 4 1.3.1 缩短市场响应时间 4 1.3.2 减少技术债务 4 1.3.3 消除系统脆弱性 5 1.4 DevOps 现状及发展趋势 5 1.4.1 中国 DevOps 现状 5 1.4.2 DevOps 发展方向 10 1.5 DevOps 相关标准规范 11 1.5.1 DevOps 能力成熟度模型 11 1.5.2 DevOps 解决方案标准 13 1.5.3 信息技术服务开发运维技术要求 15 第 2章 从**视角看 DevOps 18 2.1 从 SDL 到 DevSecOps 18 2.1.1 DevOps 对 SDL 的挑战 19 2.1.2 SRE 与 DevOps 20 2.1.3 DevSecOps 支撑体系 20 2.1.4 DevSecOps 工作过程的六大要点 22 2.1.5 DevSecOps 的三层方法论 23 2.2 DevSecOps 现状及发展趋势 27 2.2.1 云**与 DevSecOps 27 2.2.2 **软件开发框架 SSDF 29 2.2.3 《GitLab 第四次全球 DevSecOps年度调查》报告解读 31 2.2.4 《研发运营**白皮书》解读 32 2.2.5 DevSecOps 技术发展趋势预测 33 2.3 软件供应链**与 DevSecOps 34 2.3.1 软件供应链**问题 35 2.3.2 软件供应链的生命周期 35 2.3.3 开源和云原生时代下的软件供应链 36 2.3.4 国外软件供应链**发展现状 36 2.3.5 国内软件供应链**发展现状 37 2.3.6 软件供应链攻击类型 37 2.3.7 软件供应链风险分析 39 2.3.8 应用 DevSecOps 应对软件供应链**风险 40 2.3.9 软件供应链***新发展趋势 45 第3章 DevSecOps *佳实践 51 3.1 构建**与**左移 51 3.1.1 **左移 51 3.1.2 **意识与教育 51 3.1.3 常见漏洞列表 52 3.1.4 **演练 53 3.1.5 结对编程和同行评审 53 3.1.6 Scrum 中的**性 54 3.1.7 代码审计 55 3.2 **架构 56 3.2.1 自适应**架构 56 3.2.2 零信任模型 58 3.2.3 ATT&CK 框架 59 3.2.4 CSMA 59 3.3 **设计 60 3.3.1 核心**设计原则 61 3.3.2 威胁建模 61 3.3.3 微服务** 64 3.3.4 API ** 66 3.3.5 容器** 71 3.3.6 流水线** 76 3.4 持续** 79 3.4.1 测试驱动** 79 3.4.2 攻击监控与应对 81 3.4.3 实现持续的**性 84 3.5 **自动化 84 3.5.1 实现自动化 84 3.5.2 应用**测试 85 3.5.3 移动应用**测试 85 3.5.4 基础设施**测试 86 3.6 云原生** 87 3.6.1 云原生**的定义 87 3.6.2 Gartner 的云**体系 87 3.6.3 云原生应用的供应链** 88 3.6.4 容器技术**基准 88 3.6.5 混沌工程思想 89 3.6.6 云上**部署 92 3.6.7 灰度发布 97 3.7 零信任网络** 98 3.7.1 零信任 99 3.7.2 微隔离 99 3.8 **度量 102 3.8.1 软件**成熟度发展史 102 3.8.2 软件**构建成熟度模型 103 3.8.3 可信研发运营**能力成熟度模型 106 第4章 DevSecOps 平台设计与工具应用 118 4.1 DevSecOps 模型设计 118 4.1.1 概念模型 118 4.1.2 分层模型 118 4.1.3 架构模型 119 4.2 DevSecOps 工具链设计 120 4.2.1 计划阶段 121 4.2.2 创建阶段 121 4.2.3 验证阶段 121 4.2.4 准生产阶段 122 4.2.5 发布阶段 123 4.2.6 配置阶段 123 4.2.7 检测阶段 123 4.2.8 响应阶段 124 4.2.9 预报阶段 124 4.2.10 调整阶段 124 4.3 代码**托管与代码** 125 4.3.1 高可用的 GitLab 125 4.3.2 代码**托管 130 4.3.3 SAST 134 4.4 开源组件管理与开源治理 137 4.4.1 SCA 工具选型 137 4.4.2 SCA 工具应用 141 4.4.3 开源治理体系与平台建设 144 4.5 API **防护 145 4.5.1 API **防护措施 146 4.5.2 API **工具 146 4.6 制品库管理 147 4.6.1 制品与制品库 147 4.6.2 制品库管理需要解决的问题 147 4.6.3 制品库管理要求 148 4.7 原生**防护 148 4.7.1 原生主机** 148 4.7.2 原生容器** 150 4.7.3 原生应急响应和取证 151 4.8 DAST 153 OWASP ZAP 154 4.9 IAST 154 4.9.1 IAST 的检测方式 154 4.9.2 IAST 的漏洞发现能力 155 4.9.3 IAST 工具的基本能力要求 155 4.9.4 IAST 与 DevSecOps 流程的整合 156 4.9.5 IAST 与 SCA 工具的集成 156 4.10 RASP 157 4.10.1 RASP 技术原理 158 4.10.2 OpenRASP 158 4.10.3 RASP 与 DevSecOps 流程的整合 159 4.11 入侵与攻击模拟 160 4.11.1 人工渗透测试的限制 160 4.11.2 云渗透测试 161 4.11.3 紫队 161 4.11.4 自动化入侵与攻击模拟 162 4.11.5 有效的入侵与攻击模拟 163 4.11.6 XM Cyber 163 4.12 以**为**的流量分析 164 4.12.1 网络**监控需求 164 4.12.2 DPI 164 4.12.3 基于 nDPI 的流量处理 165 4.12.4 应用场景 166 4.12.5 云原生**网格平台 166 4.13 混沌工程 169 4.13.1 生产环境中的问题 169 4.13.2 实施混沌工程的原则 169 4.13.3 混沌工程测试平台能力 170 4.13.4 混沌工程工具 170 4.14 网络**演练 171 4.15 全链路压测 172 4.15.1 性能测试的新挑战 172 4.15.2 全链路压测技术 172 4.15.3 监控分析技术 173 4.15.4 开源全链路压测平台Takin 173 4.16 DevSecOps 平台建设方法 174 4.16.1 “一站式”能力建设 174 4.16.2 “云平台＋开源软件”的DevSecOps 框架构建 174 4.16.3 构建“黄金管道” 175 4.16.4 人工智能与 DevSecOps 176 4.17 基于 GitLab 集成工具链实现 DevSecOps 176 4.17.1 GitLab 集成工具链实现**的 DevOps 177 4.17.2 GitLab 集成工具链实现 GitOps 模式 183 第5章 实践案例 186 5.1 某企业持续集成项目 186 5.1.1 项目背景 186 5.1.2 解决方案 186 5.2 某电网公司 DevSecOps 体系建设 189 5.2.1 背景 189 5.2.2 体系设计方法 189 5.2.3 需求分析 190 5.2.4 总体设计目标 191 5.2.5 核心设计内容 191 5.2.6 专题设计 193 5.3 某电信运营商公司 DevOps 平台规划 202 5.3.1 平台建设目标 202 5.3.2 平台建设范围 203 5.3.3 平台需求分析和规划设计 203 5.3.4 平台技术实现方案 209 5.4 双模发布管理平台的设计与应用 213 5.4.1 产生背景 213 5.4.2 双模发布管理平台设计 215 5.4.3 案例及功能说明 217