敏捷应用程序安全
杨宏焱, 刘恒屹 译
出版时间:2018年11月
页数:342
在全世界的所有组织中,敏捷开发正在成为最广泛使用的软件开发方法,但它通常无法和传统的安全管理技术相融合。大部分安全专业技术人员的知识都跟不上敏捷开发的发展。为了将这连个领域打通,本书引入了几个在敏捷开发使用的安全工具和技术。
这本书由安全专家和敏捷高手编写,本书一开始就向敏捷实践者介绍了安全原则,同时向安全实践者介绍了敏捷原则。作者还介绍了他们在自己的敏捷安全实践中所遇到的问题,以及他们如何解决这些问题。展开全部内容介绍
这本书由安全专家和敏捷高手编写,本书一开始就向敏捷实践者介绍了安全原则,同时向安全实践者介绍了敏捷原则。作者还介绍了他们在自己的敏捷安全实践中所遇到的问题,以及他们如何解决这些问题。展开全部内容介绍
- 前言
- 第1章 安全概述
- 不仅仅是技术问题
- 不仅仅是极客
- 安全和风险有关
- 威胁因素,以及了解你的敌人
- 安全价值:保护我们的数据、系统和人员
- 常见的安全误区和错误
- 让我们开始
- 第2章 敏捷促进者
- 构建管道
- 自动化测试
- 持续集成
- 基础设施即代码
- 发布管理
- 可视化追踪
- 集中反馈
- 部署过的代码才是唯一优秀的代码
- 安全、高速运行
- 第3章 迎接敏捷革命的到来
- 敏捷:一座美丽的盆景
- Scrum,最时髦的敏捷技术
- 极限编程
- 看板
- 精益开发
- 常见敏捷方法
- 什么是 DevOps?
- 敏捷和安全
- 第4章 在现有的敏捷生命周期中工作
- 传统应用的安全模型
- 迭代前仪式
- 迭代前参与
- 迭代后参与
- 设置安全基线
- 那么当你扩大规模的时候呢?
- 建立安全团队
- 关键点
- 第5章 安全和需求
- 在需求中处理安全
- 敏捷需求:讲述故事
- 跟踪和管理故事:backlog
- 处理bug
- 将安全性放入需求
- 安全角色和反角色
- 攻击者故事:戴上黑帽子
- 攻击树
- 基础架构和运维需求
- 重点回顾
- 第6章 敏捷漏洞管理
- 漏洞扫描及修复
- 处理关键漏洞
- 确保软件供应链安全
- 如何以敏捷方式修复漏洞
- 安全Sprints、强化Sprints和黑客日
- 技术安全债务的承担和偿还
- 关键点
- 第7章 敏捷团队的风险
- 安全团队说不
- 理解风险和风险管理
- 风险和威胁
- 风险处置
- 敏捷和DevOps中的风险管理
- 在敏捷和DevOps中处理安全风险
- 重点回顾
- 第8章 理解攻击和评估风险
- 理解攻击:妄想和现实
- 系统的攻击面
- 敏捷威胁建模
- 常见攻击方式
- 要点总结
- 第9章 构建安全和可用的系统
- 反入侵设计
- 安全性与可用性
- 技术控制
- 安全架构
- 复杂性和安全性
- 重点回顾
- 第10章 代码评审安全
- 为什么需要进行代码评审?
- 代码评审的类型
- 结对代码评审
- 你应该何时评审代码?
- 怎样评审代码?
- 谁需要评审代码?
- 自动代码评审
- 代码评审的挑战和局限性
- 采用安全代码评审
- 查看安全功能和控件
- 评审代码的内部威胁
- 关键要点
- 第11章 敏捷安全测试
- 那么敏捷开发中如何进行测试?
- 有bug 的地方,就会被攻破
- 敏捷测试金字塔
- 单元测试和TDD
- 服务级别的测试和BDD工具
- 验收测试
- 功能安全测试和扫描
- 应用程序扫描的问题
- 测试基础设施
- 创建自动化的构建和测试管道
- 敏捷开发中的手动测试
- 如何在敏捷和DevOps中进行安全测试?
- 重点回顾
- 第12章 外部审计,测试和建议
- 为什么我们需要外部审计?
- 缺陷评估
- 渗透测试
- 红队
- BUG奖励
- 配置审查
- 安全代码审计
- 加密审计
- 选择一个外部的公司
- 使你的钱花的值得
- 关键点
- 第13章 运维和OpSec
- 系统加固:建立安全系统
- 网络即代码
- 监控与入侵检测
- 在运行时捕捉错误
- 运行时防御
- 事件反应:为破坏而准备
- 保护你的构建管道
- 嘘……请保密
- 重点回顾
- 第14章 合规性
- 合规性和安全性
- 风险管理和合规
- 变更的可追溯性
- 数据隐私
- 如何满足合规性并保持敏捷
- 证明和认证
- 关键点
- 第15章 安全文化
- 安全文化的意义
- 搭建安全文化
- 有效安全原则
- 安全外展
- 重点回顾
- 第16章 敏捷安全意味着什么?
- Laura的故事
- Jim的故事
- Michael的故事
- Rich的故事
购买选项
© 2025,奥莱利技术咨询(北京)有限公司。版权所有。 传真: +86-10-88097463 京ICP备05003502号 |
|