新书推荐 | 如何在DevSecOps中构建敏捷安全工具链？

随着移动互联网和移动应用的迅猛发展，传统网络安全防护措施的局限性日益显现。“安全左移”和“DevSecOps”等安全理念在网络安全领域越来越受到重视。大家逐渐意识到，仅从网络层面或流量层面来考虑安全问题是远远不够的。
 
海云安自成立以来，就洞察到了这一不同于传统安全的新机遇，并在软件开发安全这一细分领域中进行了深入探索。安全419了解到，海云安将推出《DevSecOps工具链》一书，由海云安创始人谢朝海博士等专家共同编写，从代码审查到自动化测试，再到持续监控，深入探讨了如何在软件开发生命周期中无缝集成安全实践。
 

 
在企业信息化建设和数字化转型过程中，DevOps云原生技术快速发展，成为应用系统开发的主流创新方向，越来越多的企业转向使用DevOps云原生技术。新的安全挑战也随之而来，软件安全成为网络安全的一道新命题，将安全嵌入应用系统开发过程己成为组织的必然选择。
 
在业务应用系统生命周期的各阶段都存在网络安全问题。《网络安全法》提出了“同步规划、同步建设、同步使用”的“三同步”原则，从软件生命周期的起点开始将安全嵌入项目立项规划阶段，推动安全左移，实现 DevSecOps 的研发、安全运维一体化。
 
书中写到：通常认为DevSecOps 是由文化促成的，但在实践中发现，DevSecOps是基于技术并由技术工具支持的。技术工具是文化促成的基础条件。如果企业缺少敏捷安全技术工具的支持，就无法充分发挥DevSecOps带来的效益。单纯用人工审查代码安全的企业，肯定无法建立DevSecOps的敏捷文化。
 
“构建DevSecOps的一项核心工作是建设安全工具链，
涵盖应用系统生命周期过程中需要的持续安全测试工具。”
 
全书分为五个部分共12章，从同步规划、安全开发、CI代码级安全测试、CD系统级安全测试和安全运营，既全面介绍软件安全开发各阶段的任务，同时又着眼于培养读者利用工具解决具体问题的能力。立项规划阶段重点介绍等级保护定级方法，为应用系统确定安全等级；开发建设阶段介绍场景化轻量级威胁建模具和安全编码规范；交付测试阶段介绍代码级安全检测工具、系统级安全检测工具以及云原生场景下的安全检测工具；应用运营阶段介绍DevSecOps下的安全运营平台及实施方法。
 
工欲善其事，必先利其器，本书助力读者在安全开发的道路上更加游刃有余，可为企业安全建设团队或有志于从事应用系统开发安全体系建设的读者提供一些建设性参考。安全419分享新书，《DevSecOps工具链》——您的安全开发指南，限时福利尝鲜！