敏捷应用程序安全

软件正在改变这个世界。开发者成为了新的无冕之王。物联网意味着每个电灯泡中都会有一台计算机存在。这种说法也表明软件开发越来越占据了统治地位，世界上大多数人距离某台计算机不会超过1米，在任何时候我们都生活在计算机辅助类物品或环境的影响下。但随之而来的却是某种危机。

在过去，安全通常是银行业和政府系统才需要真正考虑的事情。但由于计算机无处不在，通过系统滥用的可行性增加了，从而诱发了系统滥用，增加了系统所要面对的风险。敏捷开发技术越来越被大多数组织所快速采用。通过响应式改变以及开发成本的明显降低，它们以一种敏捷的方式提供了理想的、能够不断迭代直到软件大版本被构建出来的标准。

但是，从历史观点来说，安全和敏捷从来不是天生的一对。在前面提到的政府、经济和银行系统中，安全专家正在忙得不可开交，他们正在努力构建、测试和加固这些系统，以应对层出不穷的各种威胁。而且，我们经常可以在技术博客和晚间新闻中看到的最有趣、最刺激的东西，也主要集中在职业黑客团队所做的漏洞研究、Exploit开发和特技攻击上。你可能听过几个最新的漏洞，比如心血漏洞（Heartbleed）、阻塞漏洞（Logjam）及破壳漏洞（Shellshock），也可能知道几个能够越狱最新iPhone和Android设备的团队。但除了最终出现的那个带有好听的、媒体友好名字的防御措施或方法之外，你还记得任何一个防御者或者建设者的名字吗？安全专家在敏捷开发方面的知识和经验已经落伍了，在我们这个行业中已经出现了一个惊人的鸿沟。同样地，敏捷开发团队拒绝和摆脱了过去的羁绊。没有详细的需求说明、没有系统建模、没有传统的瀑布切换和控制门。

但问题是，敏捷团队将洗澡水和婴儿一起泼出去了。那些有时候既缓慢又不灵活的实践，在过去也曾经证明过是有价值的。它们的存在是有原因的，敏捷团队丢弃了它们，很容易就忽略和丢掉了它们的价值。这意味着敏捷团队是尽可能地不考虑安全问题。有一些敏捷实践让系统更安全，但那通常是一个意外惊喜而不是故意设计。很少有敏捷团队会意识到他们系统面临的威胁；不理解他们正处于风险之中；不跟踪或者不会控制这些风险；对有人会攻击他们的系统缺乏理解。

本书的读者对象我们不知道你是一个敏捷团队的领导者，还是一个想知道更多安全知识的开发者，也可能是一个安全行业的从业者，发现整个开发团队已经不是你曾经认识过的样子，你想学习更多。这本书的目标是针对这三种主要的读者。敏捷开发者你活着、呼吸着，所以敏捷。你从你的Kaizen中知道你的Scrum，在你的反馈循环中进行测试驱动开发。无论你是不是一个Scrum大师，开发者、测试者、敏捷开发讲师、产品的业主，还是客户代理，你都需要理解敏捷开发的实践和价值。本书将帮助你学习什么是安全，存在什么样的威胁，以及安全从业者用于描述所发生的事情的语言。我们会帮助你理解如何建模威胁，度量风险，从理论上构建安全软件，安全地安装软件，以及理解运营中来自于某个在线服务的安全问题。

安全从业者无论你是否是一个风险管理者、一个信息安全专家，还是一个安全运营分析家，你应该理解安全。你可能关心如何使用在线服务，无时不刻不在思考各种威胁、风险以及缓解措施，你甚至发现过新漏洞并利用它们进行过提权。这本书会帮助你理解敏捷团队是如何真正对软件进行开发的，这个地球上的这类团队正在谈论什么，以及他们口中的冲刺和故事是什么。你将学习查看chaos中的模板，以及帮助你和团队进行交流并影响他们。本书将告诉你可以从哪些地方介入或者做出努力，这也是对一个敏捷团队最具价值和最能发挥作用的地方。敏捷安全从业者从风险到冲刺，你无一不知。无论你是一个帮助团队做好安全的工具创建者，还是一个负责对团队提建议的顾问，本书都适合你。抛开本书的主要内容，去理解本书作者的意图，也就是正在增长的良好实践。本书将有助于了解在你领域内的其他人，以及我们正在组织中处理这个问题时出现的想法和概念。这会提高、扩展你对相关域的理解，以及为你提供一个继续研究学习的目标。

本书主要内容你可以按从头到尾的顺序来逐章阅读本书。实际上我们也推荐你以这种方式阅读；我们努力编写本书，希望在每一章都包含对所有读者有用的内容，哪怕一个小小的冷幽默或趣闻轶事！但实际上，我们也认为有的章对你来说会比其他章更有用。

大致将本书分成三个部分。

第一部分：基础敏捷和安全是非常宽的领域，我们不知道你掌握了什么。尤其当你是来自其中某一个领域时，你可能不知道另一个领域的知识。如果你是敏捷专家，我们建议你先阅读第1章，“安全概述”，以确保你具备基本的安全知识。如果你不是，或者你还刚刚开始接触敏捷开发，那么在我们开始介绍敏捷之前，我们建议你阅读第2章，“敏捷促进者”。这一章介绍了我们认为的基本实践是什么，以及我们将从什么样的基础开始。第3章，“迎接敏捷革命的到来”，介绍敏捷软件开发的历史，以及它的不同实现方式。对于安全专家和没有敏捷开发经验的人来说，这也是他们最感兴趣的部分。

第二部分：敏捷和安全我们建议每个人都开始阅读第4章，“在现有的敏捷生命周期中工作”。在这一章中，试图将我们想到的安全实践和真实的敏捷开发生命周期联系到一起，同时解释说明为什么要将它们联系起来。第5~7章，学习需求和漏洞管理、风险管理，这些更全面的实践将从一个方面支撑起开发中的产品管理和总体方案。第8~13章包括了安全软件开发生命周期的各个组成部分，从评估、代码评审、测试到运行安全。

第三部分：最后组装第14章，介绍合规性，以及它和安全有何关系，如何在敏捷开发或DevOps环境中实现合规。第15章，介绍安全的文化体系。没错，你可以实现本书介绍的所有实践，前面的章节介绍了你能够使这些改变持续的各种工具。然而敏捷开发都是关于人的，有效的安全持续也是这样：安全其实是改变内心的文化，这一章会提供一些我们在真实世界中找到的有效案例。

对于一个公司，要改变它的安全性，它需要安全专家和开发人员相互支持和尊重，他们需要密切合作以构建安全持续。它不仅仅是一堆工具或一系列实践，还需要这个组织的彻底改变。第16章，介绍敏捷安全对不同的人意味着什么，并归纳出要让团队敏捷和安全，我们每个人应该干什么和不应该干什么。

本书约定本书常用到的排版方式约定如下：斜体（Italic）表示新出现的术语、URL、email地址、文件名及扩展名。等宽字体（Constant Width）在代码清单中使用，或者在段落中用于表示程序中的对象，如变量名、函数名、数据库、数据类型，环境变量、语句和关键字。如果在代码行后出现↵字符，表示这一行后面是下一行。加粗的等宽字体（Constant width bold）表示命令或需要用户输入的其他文本。倾斜的等宽字体（Constant Width Italic）表示文本应该由用户自己提供的内容替换，或者根据上下文改变。O’Reilly SafariSafari（过去叫Safari图书在线）是一个针对企业、政府、教育机构和个人的会员制培训和参考平台。成为会员将可以从数据库中查找和浏览数以千计的图书、培训视频、学习路径、交互式教程和组织好的播放列表，这些资料的来源遍及250个出版社，如O’Reilly Media、Harvard Business Review、Prentice Hall Professional、Addison-Wesley Professional、Microsoft Press、Sams、Que、Peachpit Press、Adobe、Focal Press、Cisco Press、John Wiley & Sons、Syngress、Morgan Kaufmann、IBM Redbooks、Packt, Adobe Press、FT Press、Apress、Manning、New Riders、McGraw-Hill、Jones & Bartlett、Course Technology等。更多信息，请访问：http://oreilly.com/safari。

联系我们请把你对本书的意见和疑问发给出版社：美国：O’Reilly Media, Inc.1005 Gravenstein Highway NorthSebastopol, CA 95472中国：北京市西城区西直门南大街2号成铭大厦C座807室（100035）奥莱利技术咨询（北京）有限公司本书有一个专属网页，我们会在上面列出勘误、示例，以及其他附加信息。你可以通过以下地址访问它：http://bit.ly/agile-application-security。如果是评论或者讨论和本书相关的技术问题，那么请发邮件到[email protected]。关于我们出版社的其他书籍、教程、会议和新闻，请访问我们的网站http://www.oreilly.com。我们的Facebook：http://facebook.com/oreilly。我们的Twitter：http://twitter.com/oreillymedia。我们的YouTube：http://www.youtube.com/oreillymedia。

致谢首先要感谢三位了不起的编辑：Courtney Allen、Virgnia Wilson和Nan Barber。没有你们和其他O’Reilly团队的成员，我们无法完成本书。我们还要感谢技术评审的耐心和真知灼见，分别是：Ben Allen、Geoff Kratz、Pete McBreen、Kelly Shortridge和Nenad Stojanovsk。最后还要感谢我们的朋友和家人，忍受我们再次从事这样一个疯狂的项目。