DevSecOps资讯汇编 第三期

DevSecOps资讯汇编

第三期 2019年10月16日

• 10 Books Every DevSecOps Enthusiast Must Read | 每个DevSecOps爱好者必须阅读的10本书

• 2019加速度 DevOps 全球状态报告 中文版

  • 介绍报告的第四节第二部分，即如何提高生产力。从对生产力的理解、工具的使用、内外部搜索到技术债务、心理安全文化，分别进行了具体、明确、务实的阐述。同样的，下图目录帮您按图索骥。（公众号上有关于前几个章节的解读），英文原文在汇编第一期中已经收录

• Integrating Security into Build Processes Signals DevSecOps Tipping Point | 将安全性集成到构建流程中是目前devsecops的趋势

  • 作者根据2019 State of DevOps Report分析，目前SDLC和安全性集成的趋势，以及在集成过程中可能会遇到的问题

• Tune in: Demystifying Cisco Orchestration for Infrastructure as Code | 趋势:编排基础架构实现代码即基础架构

  • 在2019  年  10月24日，我们将在BrightTalk上讨论“Tune in: Demystifying Cisco Orchestration for Infrastructure as Code”。 本文主要是介绍了IAC（infrastructure as code）提出的背景，包括了编排、自动化、devops等内容

• Why Does Security Matter For DevOps? | 为什么安全对于DevOps而言很重要

  • 文章简述了一类安全性需求的背景，DevOps的优势以及介绍了现代应用安全框架。

• Enterprise DevSecOps: New Series | 企业DevSecOps新研究

  • 这项工作将是对2015年将安全构建到DevOps中的研究工作的补充，其中将围绕安全团队询问DevSecOps的常见问题进行重大补充，并对工具和集成方法进行全面更新。 （这个作者的其他文章也不错）

• DevOps Chat: Shifting Security Left and Right, With Contrast Security | DevOps访谈：Constrast Security公司相关安全左移和右移的看法

  • 访谈的内容集中在他们的IAST和RASP方面的产品以及技术本身，有一定的参考价值

• How to Evaluate Your DevOps Secrets Management Program |怎么评估DevOps秘密管理程序

  • 作者简要概述了DevOps秘密管理方面的一些最佳实践。所有的特权凭证由集中式的秘密管理程序进行维护，优先保障核心的系统和数据，逐步推进到所有的系统。评估主要针对两个方面，1. 测试秘密管理系统的有效性 2.建立和跟踪指标以了解攻击面覆盖范围和特权访问的有效性。另外该系列的其他四篇文章也说明了如何实现DevSecOps的转型。

• Application Security in the Microservices Era |微服务时代的应用程序安全

  • 作者通过对一些企业的专业人员进行访谈调研，总结了当下企业的现状以及企业潜在的发展趋势：正在拥抱一些新的技术和概念，综合多种解决方案共同解决安全问题，对于安全逐渐重视

• Enterprise DevSecOps: How Security Works With Development |企业DevSecOps：安全工作如何与开发配合

  • 作者重点讨论了DevSecOps需要满足的一些功能性条件和需求，以及面对的一些问题。

• Enterprise DevSecOps: Security Test Integration and Tooling |企业DevSecOps：安全测试集成和工具化

  • 作者重点讨论了从哪些工具入手，以及如何整合它们。

  Collected By Alkaid

PS： 目前国内的消息源有限，如果有相应方面（SDLC、自动化、DevSecOps、威胁建模）的文章，可以邮件alkaid.guang@gmail.com ，谢谢