Skip to content

Commit f73b8d4

Browse files
fooyingfooying
authored
Add new subject: Devsecops
 Add new subject: Devsecops
1 parent 72fa51a commit f73b8d4

30 files changed

+821
-9
lines changed

README.md

+5-3
Original file line numberDiff line numberDiff line change
@@ -15,12 +15,14 @@
1515
## 贡献内容
1616

1717
### 已有内容补充与修正
18-
请访问对应页面,点击右侧「在 GitHub 上编辑此页 →」直接修改内容并「Propose changes」,我们将会审核修改并合并内容。
18+
- 请访问对应页面,点击右侧「在 GitHub 上编辑此页 →」直接修改内容并「Propose changes」,我们将会审核修改并合并内容。
19+
- 或Fork本项目提交MR(参考新主题贡献)
1920

2021
### 新主题贡献
2122
1. 请采用Fork[本项目](https://github.com/SEC-CAFE/handbook)并提交MR的方式提交新主题
22-
3. 具体内容及格式请访问并参考[数据安全] `content/enterprise_security` 新建目录(如application_security)并于该目录下添加文件并编写内容
23-
2. 请同步更新或添加`content/_index.md` 对应类别下的card内容
23+
2. 具体内容及格式请访问并参考[数据安全] `content/enterprise_security` 新建目录(如application_security)并于该目录下添加文件并编写内容
24+
3. 修改目录`_index.md`文件添加修订记录
25+
4. 请同步更新或添加`content/_index.md` 对应类别下的card内容
2426

2527
## 贡献者
2628
<a href="https://github.com/SEC-CAFE/handbook/graphs/contributors">

content/_index.md

+4-1
Original file line numberDiff line numberDiff line change
@@ -17,6 +17,9 @@ keywords:
1717
- 安全攻防
1818
- 漏洞研究
1919
- awesome data security
20+
- awesome development security
21+
- SDLC
22+
- DevSecOps
2023
---
2124

2225
{{< hextra/hero-badge >}}
@@ -44,7 +47,7 @@ keywords:
4447

4548
{{< cards rows="4" >}}
4649
{{< card link="enterprise_security/data_security" title="数据安全" image="https://source.unsplash.com/featured/800x400?1" subtitle="数据安全资料、方法论与实践经验">}}
47-
{{< card link="#" title="研发安全" image="https://source.unsplash.com/featured/800x400?2" subtitle="开发中,敬请期待." >}}
50+
{{< card link="enterprise_security/devsecops" title="DevSecOps" image="https://source.unsplash.com/featured/800x400?2" subtitle="DevSecOps及S-SDLC相关内容与实践方法" >}}
4851
{{< card link="/" title="零信任安全" image="https://source.unsplash.com/featured/800x400?3" subtitle="开发中,敬请期待.">}}
4952
{{< card link="/" title="攻防演练" image="https://source.unsplash.com/featured/800x400?4" subtitle="开发中,敬请期待.">}}
5053
{{< /cards >}}

content/about/index.md

+5-3
Original file line numberDiff line numberDiff line change
@@ -25,9 +25,11 @@ layout: single1
2525
## 贡献内容
2626

2727
### 已有内容补充与修正
28-
请访问对应页面,点击右侧「在 GitHub 上编辑此页 →」直接修改内容并「Propose changes」,我们将会审核修改并合并内容。
28+
- 请访问对应页面,点击右侧「在 GitHub 上编辑此页 →」直接修改内容并「Propose changes」,我们将会审核修改并合并内容。
29+
- 或Fork本项目提交MR(参考新主题贡献)
2930

3031
### 新主题贡献
3132
1. 请采用Fork[本项目](https://github.com/SEC-CAFE/handbook)并提交MR的方式提交新主题
32-
3. 具体内容及格式请访问并参考[数据安全] `content/enterprise_security` 新建目录(如application_security)并于该目录下添加文件并编写内容
33-
2. 请同步更新或添加`content/_index.md` 对应类别下的card内容
33+
2. 具体内容及格式请访问并参考[数据安全] `content/enterprise_security` 新建目录(如application_security)并于该目录下添加文件并编写内容
34+
3. 修改目录`_index.md`文件添加修订记录
35+
4. 请同步更新或添加`content/_index.md` 对应类别下的card内容

content/enterprise_security/data_security/_index.md

+9-1
Original file line numberDiff line numberDiff line change
@@ -18,8 +18,16 @@ keywords:
1818
数据安全资料、方法论与实践经验
1919
<!--more-->
2020

21-
「数据安全」知识库内容来自于 https://github.com/tuhaolam/awesome-data-security-cn
21+
## 作者及修订记录
22+
{{% details title="详情" %}}
23+
- 知识库内容来自于 [awesome-data-security-cn](https://github.com/tuhaolam/awesome-data-security-cn)项目
24+
- [Fooying](https://fooying.com) 补充增加「企业实践-安全度量」内容
25+
{{% /details %}}
2226

27+
> 感谢参与贡献的每一位作者!请尊重原创,引用转载请保留来源!
28+
29+
30+
## 目录
2331
探索以下各节以学习「数据安全」内容:
2432

2533

content/enterprise_security/data_security/practice.md

+3-1
Original file line numberDiff line numberDiff line change
@@ -14,7 +14,7 @@ keywords:
1414
---
1515

1616

17-
17+
## 安全实践
1818
- [数据安全的第一道坎](https://www.sec-un.org/数据安全的第一道坎/):平安银行分享
1919
- [data-security-google-cloud](https://cloud.google.com/blog/topics/developers-practitioners/data-security-google-cloud):GCP数据安全白皮书
2020
- [Google数据安全自动化建设之路(白皮书)](https://zhuanlan.zhihu.com/p/564689012):GCP数据安全国内解读
@@ -24,3 +24,5 @@ keywords:
2424
- [大型互联网公司数据安全实践](https://www.anquanke.com/post/id/190093):美团数据安全负责人分享
2525
- [京东数据安全的审计与治理](https://blog.csdn.net/weixin_45727359/article/details/126132613):基于DCAP(Data-Centric Audit and Protection),关注京东内部全面推进的11个改造项
2626

27+
## 安全度量
28+
- [DSI公开课分享|蚂蚁集团黄山:数据安全风险监测与安全度量体系建设](https://mp.weixin.qq.com/s/fegih72rBTs_Hsz_JrzMLw)

content/enterprise_security/devsecops/_index.md

+39
Original file line numberDiff line numberDiff line change
@@ -0,0 +1,39 @@
1+
---
2+
title: DevSecOps
3+
weight: 2
4+
description: DevSecOps及SDLC相关内容与实践方法
5+
keywords:
6+
- 研发安全
7+
- DevSecOps
8+
- SDLC
9+
- S-SDLC
10+
- DAST
11+
- SAST
12+
- IAST
13+
- 软件供应链安全
14+
- 软件安全全生命周期
15+
- 安全培训
16+
- 威胁建模
17+
- 渗透测试
18+
- 代码审计
19+
- 产品安全
20+
- 应用安全
21+
- 软件安全
22+
---
23+
24+
DevSecOps及S-SDLC相关内容与实践方法
25+
<!--more-->
26+
27+
## 作者及修订记录
28+
{{% details title="详情" %}}
29+
- [Fooying](https://fooying.com) 收集和编写主要内容
30+
{{% /details %}}
31+
> 感谢参与贡献的每一位作者!请尊重原创,引用转载请保留来源!
32+
33+
## 目录
34+
探索以下各节以学习「DevSecOps」内容:
35+
36+
37+
38+
39+

content/enterprise_security/devsecops/intro.md

+21
Original file line numberDiff line numberDiff line change
@@ -0,0 +1,21 @@
1+
---
2+
title: 定义与介绍
3+
weight: 1
4+
description: DevSecOps(SDLC/研发安全)相关定义与介绍
5+
keywords:
6+
- DevSecOps
7+
- SDLC
8+
- S-SDLC
9+
---
10+
11+
## 中文
12+
- [从SDL到DevSecOps:始终贯穿开发生命周期的安全](https://www.fooying.com/from_sdl_to_devsecops_security_in_dev/) :SDLC与DevSecOps介绍
13+
- [“安全需要每个工程师的参与”-DevSecOps理念及思考](https://zhuanlan.zhihu.com/p/140858032?utm_id=0)
14+
- [DevSecOps 最佳实践探索](https://www.vipread.com/library/topic/2037)
15+
16+
## 英文
17+
- https://www.redhat.com/en/topics/devops/what-is-devsecops
18+
- https://www.ibm.com/cloud/learn/devsecops
19+
- https://snyk.io/series/devsecops/
20+
- https://www.synopsys.com/glossary/what-is-devsecops.html
21+
- https://spacelift.io/blog/what-is-devsecops

content/enterprise_security/devsecops/metrics.md

+43
Original file line numberDiff line numberDiff line change
@@ -0,0 +1,43 @@
1+
---
2+
title: 度量与指标
3+
weight: 6
4+
description: 企业软件研发安全成熟度度量标准与指标
5+
prev: /enterprise_security/devsecops/toolchains/
6+
keywords:
7+
- DevSecOps
8+
- SDLC
9+
- 软件安全成熟度模型
10+
- 软件安全度量
11+
- BSIMM
12+
- SAMM
13+
- 漏洞管理成熟度模型
14+
- 软件安全度量指标
15+
- 应用安全指标
16+
- 软件安全指标
17+
---
18+
19+
20+
## 实践及介绍
21+
- [软件安全能力成熟度评估实践](https://mp.weixin.qq.com/s/_s5m8WxlwnoI4-Ea8SJfCA)
22+
- [百家讲坛 | DevSecOps度量和正确的使用方式](https://mp.weixin.qq.com/s/Kg22VXKuUSK-MmVFBId7rQ)
23+
- [华泰证券 应用安全度量](https://mp.weixin.qq.com/s/_noAjvheJKskzdQ0GB7cEA) 参考章节「5.2 应用安全度量」
24+
- [构建企业信息安全指数](https://www.vipread.com/library/topic/3355)
25+
- [如何评价安全工作的好坏](https://zhuanlan.zhihu.com/p/226493047)
26+
27+
28+
## 软件成熟度模型
29+
- [BSIMM 内置安全成熟度模型](https://www.synopsys.com/content/dam/synopsys/china/software-integrity/datasheets/bsimm-cn.pdf)
30+
- [SAMM OWASP 软件保障成熟度模型](http://www.owasp.org.cn/OWASP-CHINA/owasp-project/OWASPSAMM2.0.pdf)
31+
- [C2M2 网络安全能力成熟度模型](https://www.energy.gov/ceser/cybersecurity-capability-maturity-model-c2m2)
32+
- [OWASP Devsecops Maturity Model](https://owasp.org/www-project-devsecops-maturity-model/)
33+
34+
35+
## 漏洞管理成熟度
36+
- [基于CMM的漏洞成熟度模型](https://www.4hou.com/posts/Q62M)
37+
- [漏洞管理成熟度](https://mp.weixin.qq.com/s/VgqTeRjsgQYiZSwz7soH1g) 上一个的案例,参考章节「第二部分道与认知」-「漏洞管理成熟度」
38+
- [车联网漏洞管理成熟度模型](https://www.secrss.com/articles/54872) 参考章节「三、车联网漏洞管理成熟度模型」
39+
- [The Threat & Vulnerability Management Maturity Model](https://docs.media.bitpipe.com/io_12x/io_120436/item_1066724/TVM%20Maturity%20Model%20WP%202014-10.pdf) by Core Security
40+
- [Vulnerability Management Maturity Model](https://www.bmc.com/content/dam/bmc/collateral/bmc/vulnerability-maturity-levels-quicksheet-03222019.pdf) by BMC
41+
- [SANS Vulnerability Management Maturity Model](https://www.sans.org/blog/vulnerability-management-maturity-model/#addsearch=vulnerability%20management%20maturity%20model) / [(模型大图)](https://rhisac.org/wp-content/uploads/Using-the-SANS-Vulnerability-Management-Maturity-Model-in-Your-Vulnerability-Management-Process.jpg) by SANS
42+
- [漏洞管理十大度量指标](https://www.secrss.com/articles/48835)
43+

content/enterprise_security/devsecops/others.md

+20
Original file line numberDiff line numberDiff line change
@@ -0,0 +1,20 @@
1+
---
2+
title: 其他资料
3+
weight: 7
4+
description: DevSecOps相关书籍、分享、比赛与个人技能
5+
keywords:
6+
- DevSecOps
7+
- SDLC
8+
---
9+
10+
11+
## 书籍
12+
- 《DevSecOps实战》
13+
- 《DevSecOps敏捷安全》
14+
- [《DevSecOps实施指南》中文学习版](https://mp.weixin.qq.com/s/xr2wa8-rJtP5PFGYA2Cg6g)
15+
- [《DevSecOps领导者指南》中文学习版](https://mp.weixin.qq.com/s/XGopg8Y7LBbskX7VeepSZw)
16+
17+
## WIKI
18+
- [DevSecOps Hub](https://snyk.io/devsecops/) by Snyk, 介绍DevSecOps的关键概念、流程和技术
19+
- [SecureFlag Knowledge Base](https://knowledge-base.secureflag.com/) by SecureFlag, 一个关于软件漏洞和如何防止它们的信息仓库
20+

content/enterprise_security/devsecops/practice.md

+60
Original file line numberDiff line numberDiff line change
@@ -0,0 +1,60 @@
1+
---
2+
title: 企业实践与分享
3+
weight: 3
4+
description: DevSecOps(SLDC/研发安全)安全相关企业实践与分享
5+
next: /enterprise_security/devsecops/process_and_landing/
6+
keywords:
7+
- DevSecOps
8+
- SDLC
9+
- DevSecOps敏捷安全
10+
- DevSecOps企业实践
11+
- SDLC企业实践
12+
- DevSecOps落地
13+
---
14+
15+
16+
## 思考与思想
17+
- [浅谈企业安全建设“道”与“术”--道篇](https://www.fooying.com/think-of-enterprise-security-build/)
18+
- [从安全切面到Security Mesh](https://mp.weixin.qq.com/s/tuiyoM2-u41QhvCuD79B4w)
19+
- [我所理解的研发安全](https://mp.weixin.qq.com/s/d5faEsELpmR7RyE-HjfCLA)
20+
- [SDL已死,应用安全路在何方?](https://mp.weixin.qq.com/s/tYRiKiI7bjgyzQguMA1mrw)
21+
22+
## 互联网企业
23+
- [腾讯云如何破解落地难题,成功实践DevSecOps?](https://time.geekbang.org/column/article/468692):腾讯云分享
24+
- [云原生DevSecOps建设实践](https://www.vipread.com/library/topic/3745) 欢聚集团分享
25+
- [DevSecOps研发安全体系实践](https://www.vipread.com/library/topic/3736) 智能涂鸦分享
26+
- [OPPO互联网DevSecOps实践](https://mp.weixin.qq.com/s/eCwXozibaABcZjUOqTn4Zg) OPPO分享
27+
- [小米安全运营实践 ——基于DevSecOps框架的思考与实践](https://mp.weixin.qq.com/s/A4Zg3JJiIbTI1rL5btk8fA) 小米分享
28+
- [滴滴SDL体系建设--滴滴SDL从0-1建设历程](https://www.vipread.com/library/topic/3311) 滴滴分享
29+
- [DevSecOps在携程的最佳实践](https://mp.weixin.qq.com/s/yOykOPU9wn77doz95s5LeA) 携程分享
30+
- [DevSecOps in Baidu](https://mp.weixin.qq.com/s/YQmdDs4FdcwWlhkmfWYSoQ) 百度分享
31+
- [企业 SDL 实践与经验](https://www.vipread.com/library/topic/2084) 美团分享
32+
- [SDL体系落地实践与系统实现](https://www.vipread.com/library/topic/2292) 猪八戒分享
33+
- [货运场景下的 SDL 实践](https://www.vipread.com/library/topic/3635) 货拉拉分享
34+
- [浅谈华为SDL软件安全工程能力](https://mp.weixin.qq.com/s/i1N80qN14hGslRnrIV8mjg) 华为分享
35+
- [Netflix的DevSecOps最佳实践](https://mp.weixin.qq.com/s/o21aESHLQnVKW_S5_rVb0w) Netflix分享
36+
- [唯品会产品安全技术实践](https://www.vipread.com/library/topic/859) 唯品会
37+
38+
39+
## 金融企业
40+
- [大型银行的DevSecOps体系建设和落地实践](https://www.vipread.com/library/topic/3695) 汇丰分享
41+
- [平安DevSevOps之“道”与“术”](https://www.vipread.com/library/topic/3625) 平安科技分享
42+
- [从SDLC到DevOps下的广义应用安全管控体系](https://zhuanlan.zhihu.com/p/254663070) 平安银行分享
43+
- [浅谈应用安全能力体系建设](https://mp.weixin.qq.com/s/_noAjvheJKskzdQ0GB7cEA) 华泰证券分享
44+
- [金融企业SDL建设实践](https://www.vipread.com/library/topic/3621) 广发银行分享
45+
- [壹钱包安全开发体系3.0落地实践](https://www.vipread.com/library/topic/3380) 平安壹钱包分享
46+
- [研发安全探索和落地实践](https://mp.weixin.qq.com/s/vMe3dYLExhIIU2Rnh8y9Aw) 微众银行分享
47+
48+
## 安全产品厂商
49+
- [DevSecOps敏捷安全技术落地实践探索2021](https://www.vipread.com/library/topic/3474) 悬镜安全分享
50+
- [默安DevSecOps落地实践](https://www.vipread.com/library/topic/2777) 默安分享
51+
52+
53+
## 其他机构
54+
- [美国国防部DevSecOps最佳实践](https://www.vipread.com/library/topic/2773) 美国国防部实践
55+
- [从DevSecOps看安全产品的自身安全](https://www.vipread.com/library/topic/3378) 奇安信分享
56+
- [Shift Left在开发安全中的应用](https://mp.weixin.qq.com/s/0IPKI0xpSLl7BSytKCznFQ) 奇安信分享
57+
- [SDL最初实践](https://www.vipread.com/library/topic/2753) 奇安信分享
58+
- [中移集成DevSecOps落地实践](https://mp.weixin.qq.com/s/_8cWPlCfyA47qO7VKXk1ow) 中移集成分享
59+
60+

content/enterprise_security/devsecops/process_and_landing/_index.md

+26
Original file line numberDiff line numberDiff line change
@@ -0,0 +1,26 @@
1+
---
2+
title: 流程与落地
3+
weight: 4
4+
showlist: true
5+
description: SDLC/DevSecOps流程与落地指南
6+
keywords:
7+
- DevSecOps
8+
- SDLC
9+
- SDLC流程
10+
- DevSecOps介绍
11+
---
12+
13+
## DevSecOps
14+
![](images/devsecops_tools.jpg "DevSecOps")
15+
> DevSecOps主要分为10个阶段,分别是计划(Plan)、创建(Create)、验证(Verify)、预发布(Preprod)、发布(Release)、预防(Prevent)、检测(Detect)、
16+
响应(Respond)、预测(Predict)、适应(Adapt),其中预防(Prevent)在之前的版本里也有叫做配置(Configure);
17+
18+
## SDL
19+
![](images/sdl.png "SDL")
20+
> SDL主要分为培训(Training)、需求(Requirements)、设计(Design)、实现/实施(Implementation)、验证(Verification)、发布(Release)和响应(Resonse)7个阶段。
21+
22+
## 目录
23+
> DevSecOps与SDL两者存在重叠的环节,也存在差异,本部分内容主要结合实际企业安全工作中涉及的两者的一些常见方向进行梳理,其中预防、检测、响应中更偏向于攻击防御与入侵检测体系的内容,本身也属于企业安全中较大篇幅的单独方向,将不在本主题阐述,将设计专门主题。<br>
24+
> — <cite>编者注</cite>
25+
26+

content/enterprise_security/devsecops/process_and_landing/coding_security.md

+26
Original file line numberDiff line numberDiff line change
@@ -0,0 +1,26 @@
1+
---
2+
title: 编码安全
3+
weight: 3
4+
description: 软件安全研发中的编码安全指南、规范与实践
5+
keywords:
6+
- DevSecOps
7+
- SDLC
8+
- 编码安全
9+
- 安全研发
10+
- 编码安全指南
11+
- 代码安全规范
12+
---
13+
14+
## 安全指南与规范
15+
- [腾讯代码安全指南](https://github.com/Tencent/secguide) 编程语言视角,覆盖Java、GO、Python、JavaScript、C,C++、Node
16+
- [OWASP安全编码规范快速参考指南](http://www.owasp.org.cn/OWASP-CHINA/owasp-project/download/OWASP_SCP_Quick_Reference_Guide-Chinese.pdf) 漏洞视角
17+
- [Rust安全编码规范](https://rust-coding-guidelines.github.io/rust-coding-guidelines-zh/safe-guides/intro.html) 编程语言视角
18+
- [PHP安全编码规范](https://github.com/momosecurity/rhizobia_P/wiki/php%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84%E8%8C%83) 漏洞视角
19+
- [Mozilla安全编码指南](https://wiki.mozilla.org/WebAppSec/Secure_Coding_Guidelines) 编程语言视角
20+
- [Go语言安全编码规范](https://bloodzer0.github.io/ossa/application-security/sdl/go-scp/) 编程语言视角
21+
22+
23+
## 其他
24+
- [awesome-software-supply-chain-security](https://github.com/bureado/awesome-software-supply-chain-security)
25+
26+

0 commit comments

Comments
 (0)