敏捷应用程序安全
Laura Bell, Michael Brunton-Spall, Rich Smith, Jim Bird
杨宏焱, 刘恒屹 译
出版时间:2018年11月
页数:342
在全世界的所有组织中,敏捷开发正在成为最广泛使用的软件开发方法,但它通常无法和传统的安全管理技术相融合。大部分安全专业技术人员的知识都跟不上敏捷开发的发展。为了将这连个领域打通,本书引入了几个在敏捷开发使用的安全工具和技术。
这本书由安全专家和敏捷高手编写,本书一开始就向敏捷实践者介绍了安全原则,同时向安全实践者介绍了敏捷原则。作者还介绍了他们在自己的敏捷安全实践中所遇到的问题,以及他们如何解决这些问题。
你将在本书中学习到:
● 在软件开发生命周期的每一阶段中加入安全措施。
● 在计划、需求、设计和编码阶段集成安全。
● 在每个发布版本中加入安全测试,并将它作为团队发布工作中的一部分。
● 在敏捷开发或 DevOps 环境中实现合规。
● 通过共鸣、开放、透明、协作构建高效安全的程序。
  1. 前言
  2. 第1章 安全概述
  3. 不仅仅是技术问题
  4. 不仅仅是极客
  5. 安全和风险有关
  6. 威胁因素,以及了解你的敌人
  7. 安全价值:保护我们的数据、系统和人员
  8. 常见的安全误区和错误
  9. 让我们开始
  10. 第2章 敏捷促进者
  11. 构建管道
  12. 自动化测试
  13. 持续集成
  14. 基础设施即代码
  15. 发布管理
  16. 可视化追踪
  17. 集中反馈
  18. 部署过的代码才是唯一优秀的代码
  19. 安全、高速运行
  20. 第3章 迎接敏捷革命的到来
  21. 敏捷:一座美丽的盆景
  22. Scrum,最时髦的敏捷技术
  23. 极限编程
  24. 看板
  25. 精益开发
  26. 常见敏捷方法
  27. 什么是 DevOps?
  28. 敏捷和安全
  29. 第4章 在现有的敏捷生命周期中工作
  30. 传统应用的安全模型
  31. 迭代前仪式
  32. 迭代前参与
  33. 迭代后参与
  34. 设置安全基线
  35. 那么当你扩大规模的时候呢?
  36. 建立安全团队
  37. 关键点
  38. 第5章 安全和需求
  39. 在需求中处理安全
  40. 敏捷需求:讲述故事
  41. 跟踪和管理故事:backlog
  42. 处理bug
  43. 将安全性放入需求
  44. 安全角色和反角色
  45. 攻击者故事:戴上黑帽子
  46. 攻击树
  47. 基础架构和运维需求
  48. 重点回顾
  49. 第6章 敏捷漏洞管理
  50. 漏洞扫描及修复
  51. 处理关键漏洞
  52. 确保软件供应链安全
  53. 如何以敏捷方式修复漏洞
  54. 安全Sprints、强化Sprints和黑客日
  55. 技术安全债务的承担和偿还
  56. 关键点
  57. 第7章 敏捷团队的风险
  58. 安全团队说不
  59. 理解风险和风险管理
  60. 风险和威胁
  61. 风险处置
  62. 敏捷和DevOps中的风险管理
  63. 在敏捷和DevOps中处理安全风险
  64. 重点回顾
  65. 第8章 理解攻击和评估风险
  66. 理解攻击:妄想和现实
  67. 系统的攻击面
  68. 敏捷威胁建模
  69. 常见攻击方式
  70. 要点总结
  71. 第9章 构建安全和可用的系统
  72. 反入侵设计
  73. 安全性与可用性
  74. 技术控制
  75. 安全架构
  76. 复杂性和安全性
  77. 重点回顾
  78. 第10章 代码评审安全
  79. 为什么需要进行代码评审?
  80. 代码评审的类型
  81. 结对代码评审
  82. 你应该何时评审代码?
  83. 怎样评审代码?
  84. 谁需要评审代码?
  85. 自动代码评审
  86. 代码评审的挑战和局限性
  87. 采用安全代码评审
  88. 查看安全功能和控件
  89. 评审代码的内部威胁
  90. 关键要点
  91. 第11章 敏捷安全测试
  92. 那么敏捷开发中如何进行测试?
  93. 有bug 的地方,就会被攻破
  94. 敏捷测试金字塔
  95. 单元测试和TDD
  96. 服务级别的测试和BDD工具
  97. 验收测试
  98. 功能安全测试和扫描
  99. 应用程序扫描的问题
  100. 测试基础设施
  101. 创建自动化的构建和测试管道
  102. 敏捷开发中的手动测试
  103. 如何在敏捷和DevOps中进行安全测试?
  104. 重点回顾
  105. 第12章 外部审计,测试和建议
  106. 为什么我们需要外部审计?
  107. 缺陷评估
  108. 渗透测试
  109. 红队
  110. BUG奖励
  111. 配置审查
  112. 安全代码审计
  113. 加密审计
  114. 选择一个外部的公司
  115. 使你的钱花的值得
  116. 关键点
  117. 第13章 运维和OpSec
  118. 系统加固:建立安全系统
  119. 网络即代码
  120. 监控与入侵检测
  121. 在运行时捕捉错误
  122. 运行时防御
  123. 事件反应:为破坏而准备
  124. 保护你的构建管道
  125. 嘘……请保密
  126. 重点回顾
  127. 第14章 合规性
  128. 合规性和安全性
  129. 风险管理和合规
  130. 变更的可追溯性
  131. 数据隐私
  132. 如何满足合规性并保持敏捷
  133. 证明和认证
  134. 关键点
  135. 第15章 安全文化
  136. 安全文化的意义
  137. 搭建安全文化
  138. 有效安全原则
  139. 安全外展
  140. 重点回顾
  141. 第16章 敏捷安全意味着什么?
  142. Laura的故事
  143. Jim的故事
  144. Michael的故事
  145. Rich的故事
书名:敏捷应用程序安全
译者:杨宏焱, 刘恒屹 译
国内出版社:中国电力出版社
出版时间:2018年11月
页数:342
书号:978-7-5198-2639-0
原版书书名:Agile Application Security
原版书出版商:O'Reilly Media
Laura Bell
 
Laura Bell是SafeStack公司的创始人和首席顾问,该公司专门从事安全培训、开发和咨询方面的工作。Laura在创业机构和敏捷组织从事软件开发和渗透测试工作,精通信息管理和APP的安全风险管理。在过去的十年中,她担任了一系列安全和开发角色,在开发高性能的、可扩展的和安全的系统方面具有丰富经验。过去,在某个组织中的安全与技术创新人员是各自为战的。但是,Laura向客户和读者们表明,这一现象在现代商业中被完全打破了,因为开发人员和实施人员必须具备了解和解决自身存在的安全风险的能力。
 
 
Michael Brunton-Spall
 
Michael Brunton-Spall是政府技术和政府数字服务(Government Technology,Government Digital Service)的首席安全架构师,该部门隶属于英国政府内阁办公室。他帮助制定和评估安全标准,并为建立位于政府内部的安全服务提供建议。他是一名咨询架构师,与许多政府部门合作,帮助他们理解和实现敏捷、DevOps、服务运营和现代Web架构。他曾经从事于新闻业、游戏行业、金融业和博彩业。
 
 
Rich Smith
 
Rich Smith是Duo实验室的研发主管,负责Duo安全的高级安全研究课题。在加入Duo之前,Rich曾担任过Etsy的安全主管,他是冰岛红队创业公司Syndis的联合创始人,并在Immunity、Kyrus、摩根士丹利和惠普实验室的安全团队中担任过各种职务。自20世纪90年代末起,Rich一直在安全领域从事专业工作,包括建立安全组织、安全咨询、渗透测试、红队判研、攻击性研究以及开发漏洞和攻击工具等一系列活动。他曾为美国、欧洲和斯堪的纳维亚的公共和私人部门工作,目前大部分时间都在底特律、冰岛首都和纽约之间徘徊。
 
 
Jim Bird
 
Jim Bird是一个具有20多年金融服务经验的首席技术官、软件开发经理和项目经理。他曾经与30多个国家的证券交易所、中央银行、清算所、证券监管机构和贸易公司合作过。他目前在一家主营业务为美国另类交易系统的机构中担任首席技术官。Jim多年来一直从事金融服务领域的敏捷和DevOps。早在1990年代初期,他就第一次了解到增量和迭代(详细步骤)开发了。那时,他还在西海岸科技公司工作,需要按月为世界各地的客户开发、测试和发布软件版本。在那时,他还没有意识到这有多么的不一般。Jim在DevOps和AppSec社区中很活跃,是开放网络应用程序安全项目(OWASP)的贡献者,并以SANS Institute(美国系统网络安全协会)分析师的身份提供支持。
 
 
本书的封面动物是一只埃及黄嘴鸢(Milvusaegyptius)。在拉丁语中,Milvus的意思是“鸢”,aegyptius的意思是“埃及的”,因此是来自埃及的风筝。虽然这种鸟在非洲的大部分地区都被发现,但它还是非常珍稀的。
正如它的常见名所暗示的那样,它很容易通过它的黄色鸟喙来识别。它的羽毛是棕色的,它的腿和脚没有羽毛,露出的皮肤像它的喙一样黄。它长约55厘米(22英寸),翼展在160~180厘米(5英尺3英寸~5英尺11英寸)之间。
这种黄嘴鸢在低速飞行时,尾羽散开,翅膀保持不动。舵状的尾羽使它能够轻松转向。它飞行优雅,能爆发出惊人的速度。
像许多其他猛禽一样,它依靠白蚁作为主要食物来源。它用爪子抓住白蚁,然后在飞行中吃掉它们。这只黄嘴鸢还经常会在寂静的小路上觅食腐肉。城市地区很适合这种鸟,经常会见到它猛扑下来从人类或其他鸟类那里偷走食物。
黄嘴鸢在繁殖季节是一夫一妻制的。如果雄鸢能带来足够的食物,雌性在整个繁殖过程中不会去狩猎。这种鸢会寻找合适的树冠构建碗状的巢穴,并寻找一些柔软的材料铺在里面。雌鸟一次产卵2~3枚,孵化期约35天。雏鸟在42~56天后离巢,但另外还会依赖父母15~50天。
许多O’Reilly封面动物都濒临灭绝,它们是这个世界的重要一员。要了解更多关于如何帮助这些濒危动物,请访问animals.oreilly.com。
封面图片来自Lydekker’s Royal Natural History。