推荐语

DevOps、Scrum等敏捷开发理念提高了软件开发效率，开源软件等促进了软件繁荣，但也对软件系统自身的安全性提出了更高要求，不仅要求运营阶段的安全监测防护，而且要求软件全生命周期的安全保障，尤其是开发阶段输出的软件的健壮性，这也是安全左移或者DevSecOps的核心要义，要把安全覆盖到开发运营的全生命周期。子芽致力于DevSecOps的技术研究，有非常深厚的技术功底和实战经验，相信读者能进一步领会DevSecOps的要义，并掌握关键技术，推动DevSecOps技术落地！希望此书能推动软件行业安全理念的升级，提升数字化时代软件的安全性。

——何国锋　中国电信研究院安全技术研究所所长

企业数字化转型要兼顾效率和安全。敏捷高效的新一代云原生架构是企业数字化转型的基础，如何将安全嵌入高效敏捷的软件工程是业界一直以来关注的重点。本书非常系统地论述了开发安全发展，以及和云原生、开源等领域结合的实践，有助于企业高层更好地理解敏捷安全的价值，以及实践者更好地提高DevSecOps建设水平。

——栗蔚　中国信通院云大所副所长

在数字化时代，无论身处何方，软件已成为生活中必不可少的元素，并影响着我们的生活。软件由人创造，受人的认知约束，总要经历不成熟的过程，无法避免安全风险，就如同蹒跚学步的婴儿无法避免跌倒一样。于是，我们必须思考，如何让跌倒的次数减少，让跌倒后的疼痛减轻。本书基于作者多年的研究及实践，探索出一套成熟、完善、可落地的软件开发安全体系，使新生软件尽可能更健康、更健壮。我有幸参与过作者项目的实践探索，收获颇丰。相信会给读者带来启发和收获。

——张建军　中信建投证券技术部技术总监

子芽在开发安全领域深耕多年。我与子芽曾就电力领域的安全左移如何落地实践做过多次交流，受益良多。本书集成了子芽在DevSecOps领域多年的技术积累及实践经验，其中“以人为本，技术驱动，降本增效”的理念我非常认同。本书对DevSecOps的基础理论、技术内涵及落地实践进行了全面和详细的讲解，既有高度，又接地气，能为许多正处于数字化转型进程中的企业做好安全工作提供重要参考。

——田峥博士　国网湖南电力网络安全技术首席工程师