前言 1 \n
第1章 安全概述 9 \n
不僅僅是技術(shù)問題 10 \n
不僅僅是極客 11 \n
安全和風(fēng)險有關(guān) 12 \n
威脅因素，以及了解你的敵人 15 \n
安全價值：保護(hù)我們的數(shù)據(jù)、系統(tǒng)和人員 17 \n
常見的安全誤區(qū)和錯誤 19 \n
讓我們開始 21 \n
第2章 敏捷促進(jìn)者 22 \n
構(gòu)建管道 22 \n
自動化測試 23 \n
持續(xù)集成 26 \n
基礎(chǔ)設(shè)施即代碼 26 \n
發(fā)布管理 28 \n
可視化追蹤 29 \n
集中反饋 30 \n
部署過的代碼才是唯一優(yōu)秀的代碼 31 \n
安全、高速運(yùn)行 31 \n
第3章 迎接敏捷革命的到來 33 \n
敏捷：一座美麗的盆景 33 \n
Scrum，最時髦的敏捷技術(shù) 36 \n
極限編程 39 \n
看板 42 \n
精益開發(fā) 45 \n
常見敏捷方法 46 \n
什么是 DevOps？ 48 \n
敏捷和安全 49 \n
第4章 在現(xiàn)有的敏捷生命周期中工作 51 \n
傳統(tǒng)應(yīng)用的安全模型 51 \n
迭代前儀式 54 \n
迭代前參與 56 \n
迭代后參與 57 \n
設(shè)置安全基線 58 \n
那么當(dāng)你擴(kuò)大規(guī)模的時候呢？ 59 \n
建立安全團(tuán)隊(duì) 59 \n
關(guān)鍵點(diǎn) 61 \n
第5章 安全和需求 63 \n
在需求中處理安全 63 \n
敏捷需求：講述故事 64 \n
跟蹤和管理故事：backlog 66 \n
處理bug 67 \n
將安全性放入需求 67 \n
安全角色和反角色 74 \n
攻擊者故事：戴上黑帽子 76 \n
攻擊樹 79 \n
基礎(chǔ)架構(gòu)和運(yùn)維需求 82 \n
重點(diǎn)回顧 85 \n
第6章 敏捷漏洞管理 87 \n
漏洞掃描及修復(fù) 87 \n
處理關(guān)鍵漏洞 93 \n
確保軟件供應(yīng)鏈安全 94 \n
如何以敏捷方式修復(fù)漏洞 96 \n
安全Sprints、強(qiáng)化Sprints和黑客日 100 \n
技術(shù)安全債務(wù)的承擔(dān)和償還 101 \n
關(guān)鍵點(diǎn) 103 \n
第7章 敏捷團(tuán)隊(duì)的風(fēng)險 104 \n
安全團(tuán)隊(duì)說不 104 \n
理解風(fēng)險和風(fēng)險管理 105 \n
風(fēng)險和威脅 106 \n
風(fēng)險處置 107 \n
敏捷和DevOps中的風(fēng)險管理 112 \n
在敏捷和DevOps中處理安全風(fēng)險 117 \n
重點(diǎn)回顧 119 \n
第8章 理解攻擊和評估風(fēng)險 120 \n
理解攻擊：妄想和現(xiàn)實(shí) 121 \n
系統(tǒng)的攻擊面 129 \n
敏捷威脅建模 132 \n
常見攻擊方式 142 \n
要點(diǎn)總結(jié) 143 \n
第9章 構(gòu)建安全和可用的系統(tǒng) 145 \n
反入侵設(shè)計(jì) 145 \n
安全性與可用性 146 \n
技術(shù)控制 146 \n
安全架構(gòu) 149 \n
復(fù)雜性和安全性 152 \n
重點(diǎn)回顧 154 \n
第10章 代碼評審安全 155 \n
為什么需要進(jìn)行代碼評審？ 155 \n
代碼評審的類型 156 \n
結(jié)對代碼評審 158 \n
你應(yīng)該何時評審代碼？ 160 \n
怎樣評審代碼？ 161 \n
誰需要評審代碼？ 167 \n
自動代碼評審 169 \n
代碼評審的挑戰(zhàn)和局限性 178 \n
采用安全代碼評審 181 \n
查看安全功能和控件 186 \n
評審代碼的內(nèi)部威脅 187 \n
關(guān)鍵要點(diǎn) 188 \n
第11章 敏捷安全測試 191 \n
那么敏捷開發(fā)中如何進(jìn)行測試？ 191 \n
有bug 的地方，就會被攻破 192 \n
敏捷測試金字塔 194 \n
單元測試和TDD 196 \n
服務(wù)級別的測試和BDD工具 199 \n
驗(yàn)收測試 201 \n
功能安全測試和掃描 202 \n
應(yīng)用程序掃描的問題 206 \n
測試基礎(chǔ)設(shè)施 208 \n
創(chuàng)建自動化的構(gòu)建和測試管道 212 \n
敏捷開發(fā)中的手動測試 218 \n
如何在敏捷和DevOps中進(jìn)行安全測試？ 220 \n
重點(diǎn)回顧 221 \n
第12章 外部審計(jì)，測試和建議 223 \n
為什么我們需要外部審計(jì)？ 224 \n
缺陷評估 226 \n
滲透測試 227 \n
紅隊(duì) 229 \n
BUG獎勵 231 \n
配置審查 238 \n
安全代碼審計(jì) 238 \n
加密審計(jì) 239 \n
選擇一個外部的公司 240 \n
使你的錢花的值得 242 \n
關(guān)鍵點(diǎn) 246 \n
第13章 運(yùn)維和OpSec 247 \n
系統(tǒng)加固：建立安全系統(tǒng) 248 \n
網(wǎng)絡(luò)即代碼 256 \n
監(jiān)控與入侵檢測 257 \n
在運(yùn)行時捕捉錯誤 262 \n
運(yùn)行時防御 264 \n
事件反應(yīng)：為破壞而準(zhǔn)備 266 \n
保護(hù)你的構(gòu)建管道 270 \n
噓……請保密 277 \n
重點(diǎn)回顧 279 \n
第14章 合規(guī)性 281 \n
合規(guī)性和安全性 281 \n
風(fēng)險管理和合規(guī) 288 \n
變更的可追溯性 289 \n
數(shù)據(jù)隱私 290 \n
如何滿足合規(guī)性并保持敏捷 292 \n
證明和認(rèn)證 303 \n
關(guān)鍵點(diǎn) 304 \n
第15章 安全文化 306 \n
安全文化的意義 306 \n
搭建安全文化 307 \n
有效安全原則 309 \n
安全外展 320 \n
重點(diǎn)回顧 327 \n
第16章 敏捷安全意味著什么？ 328 \n
Laura的故事 328 \n
Jim的故事 331 \n
Michael的故事 335 \n
Rich的故事 339