推薦序二

SRE 是 Google 公司提出的理念，即由開發工程師來保障整個業務系統的穩定運營。這個理念和 DevOps 有許多相似之處，我們甚至可以直接視之為 DevOps。Secure and Reliable Systems 是在原有的 SRE 上整合了安全流程，即把安全嵌入研發測試運維流程——這不就是 DevSecOps 嗎？所以，本書其實是在介紹 Google 的 DevSecOps 理念和實踐。

在我看來，DevSecOps 是對 SDL 的升級：SDL 關注開發過程的安全，適合傳統的軟件交付產品；DevSecOps 關注開發測試運維全過程安全，銜接更加緊密，流程上也更加便捷，因此更適合快速迭代的互聯網業務。如果企業想提升產品和業務系統的安全質量，那么 DevSecOps 是目前的最佳選擇之一。

同時，DevSecOps 是一個龐大的工程，它的落地需要企業有合適的組織、文化和技術架構，安全系統還要適配 DevOps 流程。來看看 Google 是怎么做的吧！本書分別從設計、實現、部署、維護這四個階段介紹如何引入安全過程，同時還以 Chrome 團隊為例，介紹了如何打造 DevSecOps 的組織和文化。通讀下來，你會發現 Google 的安全理念和實踐確實是行業領先的，我們需要向它學習。

最后，本書的兩位譯者周雨陽和劉志穎都是優秀的安全工程師，也都在騰訊安全平臺部從事過開發過程安全保障工作，負責騰訊全線產品的 DevSecOps，工作經驗豐富，對 DevSecOps 理解深刻，能夠領悟并譯出原作意圖。本書也是目前市面上少有的，能夠全面、系統地介紹 DevSecOps 理念及實踐的中文書，推薦對 DevSecOps 感興趣的讀者閱讀。

——胡珀

騰訊安全平臺部應用運維安全中心總監