书名：DevSecOps工具链
作者：谢朝海、李新建、张立强、彭波
ISBN：978-7-5706-3451-4
出版社：湖北科学技术出版社
出版日期：2024.11
本书以构建应用系统安全主动体系为出发点,为落实《中华人民共和国网络安全法》“同步规划、同步建设、同步使用”的“三同步”要求,践行安全左移理念,实现DevSecOps(development security operations)敏捷安全工具提供理论和技术支持。工欲善其事,必先利其器。敏捷安全工具建设是DevSecOps的重要挑战。本书介绍应用系统的安全规划、安全需求、安全设计、安全编码、持续构建、持续集成、持续运营等阶段及对应的各种安全技术工具。第一部分同步规划,整体介绍DevSecOps,重点给出立项规划阶段依据的等级保护定级方法,以准确确定应用系统的安全等级。第二部分安全开发,介绍开发建设阶段的安全需求分析,场景化轻量级威胁建模和安全编码规范。第三部分CI代码级安全测试,介绍代码安全漏洞知识和代码安全检测工具。第四部分CD系统级安全测试,介绍交付阶段系统级灰盒和黑盒安全检测工具。第五部分安全运营,介绍DevSecOps下的安全运营和应用安全能力成熟度模型等。本书内容丰富,案例翔实,具有很强的实操性,可以让读者快速掌握应用系统开发安全相关知识和技能。本书的读者不要求具备软件安全左移领域相关的知识背景,但如有相关知识和经验,对理解本书的内容更有帮助。本书可作为高等院校信息技术和网络安全等相关专业的教材。