第1部分　案例研究：在简易的DevOps流水线上应用多层安全性

在第1部分里，我们将通过建立一个小型的DevOps环境来运营一个几乎毫无安全性可言的Web应用。我们的流水线充斥着各种漏洞，我们将在每一个层次上将其一一堵住，包括应用、基础设施、通信及部署。我们的目标是利用第1章中介绍的在测试驱动安全概念中描述的自动化测试，一层一层地增加安全性。

安全是一段旅程。第2章将要介绍的建立自己流水线的过程会暴露出组织通常遇到的问题，并以此为起点讨论如何将安全性融入CI/CD流水线之中。在第3章中，我们首先会着手处理应用层，讨论针对Web应用的常见攻击，以及测试和保护应用免受这些攻击的方法。在第4章中，我们将聚焦基础设施层并讨论保护云上数据的技术。第5章将实现HTTPS来保护终端用户和基础设施之间的通信。最后，第6章将讨论部署流水线的安全性，以及保证代码完整性的方法。

当我们完成第1部分的时候，你的环境会非常安全，并为第2部分的内容做好了准备，我们将在第2部分讨论来自外部的攻击。