前言

这是一本介绍DevSecOps平台技术原理及技术实现的书。

在过去的几十年里，互联网行业发生了翻天覆地的变化，这种变化给人们的日常生活带来巨大改变的同时，也带来了互联网行业自身生产方式的变革。尤其是在IT信息化系统的生产模式上，研发生产从最初的瀑布模型，到后来的敏捷开发模型，直到今天为业界所提倡的DevOps模型。研发模型在市场和技术的双重影响下，不断地发展，以适应时代的变化。近些年随着网络空间安全越来越受到各个行业的重视，基于DevOps模型之上的DevSecOps模型也逐渐发展起来。

关于DevSecOps市面上介绍的资料很多，大多数从DevSecOps理论的角度阐述DevSecOps的概念，或者从工具销售、推广的角度去阐述如何单点地集成安全工具。本书主要基于Git+GitLab+Jekins等开源生态系统，围绕软件研发生命周期的各个环节，从需求、开发、构建、部署及发布，形成自动化构建、自动化部署的作业流水线，并结合自动化运维、基础设施代码化和容器化技术，如Chef、Ansible、Docker、K8s等，介绍安全技术与研发自动化流水线的融合细节，帮助读者快速构建DevSecOps技术在企业的应用与落地。

本书的主要内容和特色：

本书以DevSecOps从业人员的必备能力为基础，结合实际工作中DevSecOps实践所依赖的技术、方法论、工具，综合性地介绍DevSecOps平台技术与运营实践要点，是一本普适性的、基于容器化和云原生技术的DevSecOps实践指南。

全书共分为3个部分：

第1部分：DevSecOps体系概要（第1~2章），主要介绍DevSecOps发展历史、基本模型、概念、成熟度分级，以及整个DevSecOps视图中重要的组件构成。通过概要性的内容介绍，让读者迅速理解DevSecOps的全貌，把握重点，加深读者对DevSecOps知识体系的理解。

第2部分：DevSecOps平台架构及其组件（第3~6章），以DevSecOps平台架构为基础，分别介绍架构组件中的CI/CD、安全工具链构成，对DevSecOps平台架构中的各个组件详细地展开讲述，揭秘其技术架构细节。

第3部分：DevSecOps流水线及落地实践（第7~12章），基于DevSecOps平台架构，从代码安全、组件安全、自动化安全检测、容器安全、安全运营、移动App隐私合规等方面，综合介绍DevSecOps的实践与运营。

本书读者对象：

本书适用于网络安全人员、DevOps/DevSecOps布道师、系统架构师、基础架构运维工程师、质量工程师以及高等院校对DevSecOps安全感兴趣的学生和研究人员。

•网络安全人员，主要是从事SDL体系建设、应用安全、DevSecOps安全架构等相关人员，帮助此类人员快速建立DevSecOps知识脉络和技术框架。

•DevOps/DevSecOps布道师，主要是从事DevOps/DevSecOps布道师专业岗位人员，在企业内部运用平台工具、教育宣导、赋能实践等方式开展安全实践。

•系统架构师，主要是致力于提高系统安全性的架构师，帮助架构师从安全视角，审视系统架构、研发过程管理的安全治理策略。

•基础架构运维工程师，帮助此类人员了解运维与安全如何融合，尤其是运维自动化和IaC的未来趋势以及演进方向。

•质量工程师，帮助质量工程师从质量管理的视角，理解安全在DevOps流程中如何融合研发体系，如何利用平台能力提升整体效能。

•高校学生和其他人员，了解DevSecOps知识体系及前期环境下的主流技术实现，快速熟悉DevSecOps从业人员的必备技能等。

感谢我们的家人，因编写本书少了很多陪伴他们的时间，感谢你们的理解和支持！

由于个人能力有限，错漏之处在所难免，欢迎广大读者朋友批评指正！

作者