前言

我们正处于“VUCA”[不稳定（volatile）、不确定（uncertain）、复杂（complex）和模糊（ambiguous）]时代，企业也处于一个易变、不确定、复杂、模糊的环境。在这样的环境下，IT在企业数字化转型过程中发挥着越来越重要的作用，越来越多的企业开始拥抱敏捷，拥抱DevOps。“没有网络安全就没有国家安全”，我国近几年陆续出台了《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》等安全方面的法律法规。随着国家对安全越来越重视，DevSecOps应运而生。

DevSecOps思想源自DevOps但超越了DevOps，它凝聚了国内外软件工程领域专家多年来的探索和实践精华，代表了IT领域最新的发展趋势。它在DevOps的基础上融入安全底线思维，企业采纳DevSecOps方法和相关技术是符合数字化发展趋势和安全合规要求的。

本书从DevSecOps基础、DevSecOps最佳实践、DevSecOps平台设计与工具应用以及DevSecOps相关的实践案例等方面，系统地阐述了企业采纳DevSecOps实践所需的理论、技术与方法。

在本书的写作过程中，我得到了中国信息通信研究院（简称信通院）、极狐信息技术有限公司（简称极狐GitLab）和开源GitOps产业联盟（简称OGA）的大力支持。本书关于DevSecOps领域发展趋势的内容，很多数据来源于信通院和极狐 GitLab 发布的调研报告和白皮书。在介绍DevSecOps相关的理论框架时，我参考了很多信通院发布的相关标准和成熟度模型，在此感谢信通院郭雪、吴江伟等领导对本书出版做出的贡献。信通院在云原生、DevOps、DevSecOps等领域牵头制定了相关标准和白皮书，为产业发展做出了很大的贡献。

本书关于DevSecOps平台设计与工具应用的内容，极狐GitLab提供了不少参考素材，在此感谢极狐GitLab公司的陈悦、张扬、彭亮和刘峰对本书出版做出的贡献。GitLab是业界广泛采纳的DevOps工具，常用于构建企业工具链。在本书定稿之际，恰逢极狐GitLab公司获得A轮融资，在此表示祝贺，并对他们联合云原生计算基金会、信通院成立 OGA 以及在推动中国开源DevOps生态建设方面做出的贡献表示感谢。

本书关于安全架构、入侵与攻击模拟等新技术领域的内容，我参考了好朋友霍光先生的公众号文章中的相关内容。霍光先生是一位安全界的老兵，他一直在关注国外最新的安全技术趋势和动态，经常给我很多启发。在此感谢他对本书出版做出的贡献，以及在安全技术研究方面的持续努力。

本书关于网络安全网格架构的内容得到了云帧公司的袁桥老师的支持。袁桥老师是国内第一个完整深入理解Gartner提出的网络安全网格架构（CSMA）趋势并创新性地基于流量微探针UniProbe实现CSMA的人。在此感谢他对本书出版做出的贡献，以及在安全技术研究方面的持续努力。

本书的写作得到了 OGA 的大力支持，写作之初成立了本书编委会，编委会成员郭雪、吴江伟、陈悦、张扬、彭亮、刘峰、刘则、陈贺等人在各自的领域都耕耘多年，他们为本书提供了写作素材、内容修改建议，在此向他们表示衷心的感谢。

在本书出版过程中，极狐GitLab公司陈悦、罗天璐等人付出了大量的时间与精力，做了很多资源协调和后勤保障等方面的工作，人民邮电出版社编辑孙喆思及其同事在书稿的编辑处理等方面付出了大量时间与精力，在此向他们表示衷心的感谢。