CI/CD安全防護大揭密：DevSecOps最佳實踐指南

CHAPTER 1軟體安全開發
1.1 軟體安全開發
1.1.1 軟體開發生命週期 SDLC
1.1.2 瀑布式模型
1.1.3 軟體開發模式的演進
1.1.4 敏捷開發
1.1.5 軟體安全開發生命週期
1.2 軟體安全開發模型
1.2.1 軟體安全開發成熟度模型
1.2.2 SSDLC模型的應用
1.3 Microsoft SDL
1.3.1 SDL 核心概念
1.3.2 SDL 優化模型
1.3.3 SDL 安全活動
1.3.4 SDL 完整流程圖
1.4 Synopsys BSIMM
1.4.1 BSIMM 介紹
1.4.2 BSIMM 核心概念
1.4.3 BSIMM安全活動
1.5 OWASP SAMM
1.5.1 OWASP SAMM 模型
1.5.2 OWASP SAMM 結構
1.5.3 OWASP SAMM安全活動
1.6 NIST SSDF
1.6.1 SSDF 介紹
1.6.2 SSDF 的最佳實踐

CHAPTER 2 DevOps to DevSecOps
2.1 DevOps
2.1.1 DevOps 階段與活動
2.1.2 DevOps 優勢與實踐
2.1.3 CI/CD
2.1.4 GitLab 實作
2.1.5 Jenkins 實作
2.2 從DevOps 到DevSecOps
2.2.1 DevSecOps 發展
2.2.2 DevSecOps 核心理念與原則
2.3 DevSecOps 人員、流程與技術
2.3.1 人員方面
2.3.2 流程方面
2.3.3 技術方面
2.3.4 安全治理
2.4 DevSecOps 挑戰
2.4.1 人員的挑戰
2.4.2 流程的挑戰
2.4.3 技術的挑戰
2.5 教育訓練
2.5.1 教育訓練的形式
2.5.2 教育訓練的內容
2.6 安全治理框架與合規
2.6.1 ISO 27001
2.6.2 NIST CSF
2.6.3 NIST SP 800-53
2.6.4 NIST SP 800-171
2.6.5 SOC 2 Type 2
2.6.6 PCI DSS
2.7 Compliance as code
2.7.1 合規即代碼的優勢與實踐
2.7.2 工具選擇
2.7.3 DevSecOps 中的Compliance as Code
2.7.4 Policy as Code
2.7.5 Compliance as Code 三種類型
2.7.6 Compliance as Code 實作

CHAPTER 3 新興技術
3.1 雲端技術
3.1.1 共同責任模型
3.1.2 雲端安全
3.1.3 雲端安全工具
3.2 容器技術
3.2.1 容器與虛擬化技術
3.2.2 容器安全
3.2.3 安全性與穩定性
3.3 微服務架構
3.3.1 微服務架構的發展
3.3.2 微服務架構的優勢
3.3.3 DevSecOps 與微服務架構
3.3.4 微服務架構的安全隱患與挑戰
3.3.5 NIST SP 800-204
3.3.6 API 安全
3.4 基礎設施即程式碼（IaC）
3.4.1 為什麼要使用IaC
3.4.2 配置漂移
3.4.3 IaC 類型
3.4.4 DevSecOps 當中的 IaC
3.4.5 IaC 程式碼的安全性
3.4.6 IaC 實作：以 Ansible 為例

CHAPTER 4 安全測試與自動化
4.1 CI/CD 管道
4.2 Pre-Commit Hooks
4.2.1 Pre-Commit 概述
4.2.2 Git Hooks
4.2.3 Pre-commit 實作
4.3 SAST
4.3.1 SAST 概述
4.3.2 SAST 在 DevOps 的重要性
4.3.3 SAST 技術原理
4.3.4 SAST 優勢與局限性
4.3.5 SAST 實作
4.4 SCA
4.4.1 SCA 概述
4.4.2 將 SCA 整合進入 CI/CD
4.4.3 SCA 技術原理
4.4.4 SCA 與 SBOM
4.4.5 SCA 優勢
4.4.6 SCA 實作
4.5 DAST
4.5.1 DAST 概述
4.5.2 DAST 技術原理
4.5.3 DAST 挑戰
4.5.4 DAST 實作
4.6 IAST
4.6.1 IAST 概述
4.6.2 IAST 技術原理
4.6.3 IAST 困難與挑戰
4.7 RASP
4.7.1 RASP 概述
4.7.2 RASP vs WAF
4.7.3 將 RASP 整合進入DevOps
4.7.4 RASP 技術原理
4.7.5 RASP 技術困難與挑戰
4.8 IMAGE Scanning
4.8.1 IMAGE Scanning 概述
4.8.2 容器映像檔安全檢測
4.9 其他測試
4.9.1 弱點評估
4.9.2 滲透測試
4.9.3 模糊測試
4.9.4 入侵與攻擊模擬方案（BAS）
4.9.5 攻擊面管理（ASM）
4.9.6 漏洞獎金計劃
4.10 工具的選擇

CHAPTER 5 保護CI/CD 管道
5.1 為何需要保護CI/CD
5.2 CI/CD Top 10
5.3 CI/CD 威脅矩陣
5.4 CI/CD 管道安全防護指南
5.4.1 已知漏洞
5.4.2 身分驗證與識別
5.4.3 存取控制
5.4.4 信任來源及完整性檢查
5.4.5 秘密管理
5.4.6 加密
5.4.7 合規與安全基準
5.4.8 日誌與監控
5.4.9 CI/CD 管道安全防護指南檢核表

CHAPTER 6 DevSecOps 指導與成熟度模型
6.1 美國國防部（DoD）DevSecOps 手冊
6.1.1 美國國防部 DevSecOps 指導
6.1.2 DoD DevSecOps 指導文件
6.1.3 DoD DevSecOps 生態系
6.1.4 DoD 軟體工廠
6.2 聯邦總務署（GSA）DevSecOps 指南
6.2.1 如何使用 GSA DevSecOps 指南
6.2.2 GSA DevSecOps 平台領域
6.3 OWASP DSOMM
6.3.1 DSOMM 架構與使用方式
6.3.2 DSOMM 安全活動