Безопасность разработки в Agile-проектах : обеспечение безопасности в конвейере непрерывной поставки

Содержание книги "Безопасность разработки в Agile-проектах : обеспечение безопасности в конвейере непрерывной поставки"

Предисловие
Кому стоит прочитать эту книгу?
О структуре книги
Графические выделения
Как с нами связаться
Благодарности
Глава 1. Начала безопасности
Не только для технарей
Безопасность и риск неразделимы
Знай своего врага
Цели безопасности: защита данных, систем и людей
Типичные заблуждения и ошибки в области безопасности
Начнем, пожалуй
Глава 2. Элементы гибких методик
Сборочный конвейер
Автоматизированное тестирование
Непрерывная интеграция
Инфраструктура как код
Управление релизами
Визуальное прослеживание
Централизованная обратная связь
Хороший код – развернутый код
Работать быстро и безопасно
Глава 3. Революция в методах разработки – присоединяйтесь!
Гибкая разработка: взгляд с высоты
Scrum, самая популярная из гибких методик
Экстремальное программирование
Канбан
Бережливая разработка
Гибкие методы в целом
А как насчет DevOps?
Гибкие методики и безопасность
Глава 4. Работа с существующим жизненным циклом гибкой разработки
Традиционные модели безопасности приложения
Ритуалы на каждой итерации
Деятельность до начала итераций
Деятельность после итерации
Задание контрольного уровня безопасности
А что будет при масштабировании?
Создание содействующих групп безопасности
Сухой остаток
Глава 5. Безопасность и требования
Учет безопасности в требованиях
Гибкие требования: рассказывание историй
Как выглядят истории?
Учет историй и управление ими: журнал пожеланий
Отношение к дефектам
Включение вопросов безопасности в требования
Персоны и антиперсоны безопасности
Истории противника: надеваем черную шляпу
Деревья атак
Требования к инфраструктуре и эксплуатации
Сухой остаток
Глава 6. Гибкое управление уязвимостями
Сканирование на уязвимости и применение исправлений
Как относиться к критическим уязвимостям
Обеспечение безопасности цепочки поставок программного обеспечения
Как устранить уязвимости по-гибкому
Спринты безопасности, спринты укрепления и хакатоны
Долг безопасности и его оплата
Сухой остаток
Глава 7. Риск для гибких команд
Безопасники говорят «нет»
Осознание рисков и управление рисками
Риски и угрозы
Отношение к риску
Управление рисками в гибких методиках и DevOps
Отношение к рискам безопасности в гибких методиках и DevOps
Сухой остаток
Глава 8. Оценка угроз и осмысление атак
Осмысление угроз: паранойя и реальность
Разведка угроз
Поверхность атаки вашей системы
Гибкое моделирование угроз
Типичные векторы атак
Сухой остаток
Глава 9. Построение безопасных и удобных для пользования систем
Проектируйте с защитой от компрометации
Безопасность и удобство пользования
Технические средства контроля
Детекторные средства контроля
Архитектура безопасности
Сложность и безопасность
Сухой остаток
Глава 10. Инспекция кода в интересах безопасности
Зачем нужна инспекция кода?
Типы инспекций кода
Когда следует инспектировать код?
Как проводить инспекцию кода
Кто должен инспектировать код
Автоматизированная инспекция кода
Недостатки и ограничения инспекции кода
Внедрение инспекций кода на безопасность
Инспекция функций и средств контроля, относящихся к безопасности
Инспекция кода на предмет угроз от инсайдеров
Сухой остаток
Глава 11. Гибкое тестирование безопасности
Как производится тестирование в гибких методиках?
Кто допускает ошибки, тот побежден
Пирамида гибкого тестирования
Автономное тестирование и TDD
Тестирование на уровне служб и средства BDD
Приемочное тестирование
Функциональное тестирование и сканирование безопасности
Тестирование инфраструктуры
Создание автоматизированного конвейера сборки и тестирования
Место ручного тестирования в гибких методиках
Как добиться, чтобы тестирование безопасности работало в гибких методиках и DevOps?
Сухой остаток
Глава 12. Внешние инспекции, тестирование и рекомендации
Почему нужны внешние инспекции?
Оценка уязвимости
Тестирование на проникновение
Команда красных
Вознаграждение за обнаружение ошибок
Инспекция конфигурации
Аудит безопасности кода
Криптографический аудит
Выбор сторонней компании
Сухой остаток
Глава 13. Эксплуатация и безопасность
Укрепление системы: настройка безопасных систем
Нормативно-правовые требования к укреплению
Сеть как код
Мониторинг и обнаружение вторжений
Обнаружение ошибок во время выполнения
Оборона во время выполнения
Реакция на инциденты: подготовка к взлому
Защита сборочного конвейера
Шшш... секреты должны храниться в секрете
Сухой остаток
Глава 14. Соответствие нормативным требованиям
Соответствие нормативным требованиям и безопасность
Различные подходы к законодательному регулированию
Какой подход лучше?
Управление рисками и соответствие нормативным требованиям
Прослеживаемость изменений
Конфиденциальность данных
Как соответствовать нормативным требованиям, сохраняя гибкость
Встраивание соответствия нормативным требованиям в корпоративную культуру
Сертификация не означает, что вы в безопасности
Сухой остаток
Глава 15. Культура безопасности
Важность культуры безопасности
Принципы эффективной безопасности
Продвижение безопасности
Сухой остаток
Глава 16. Что такое гибкая безопасность?
История Лауры
Давайте двигаться быстрее
История Джима
История Майкла
История Рича
Сведения об авторах
Об иллюстрации на обложке
Предметный указатель