推荐序二

SRE 是 Google 公司提出的理念，即由开发工程师来保障整个业务系统的稳定运营。这个理念和 DevOps 有许多相似之处，我们甚至可以直接视之为 DevOps。Secure and Reliable Systems 是在原有的 SRE 上整合了安全流程，即把安全嵌入研发测试运维流程——这不就是 DevSecOps 吗？所以，本书其实是在介绍 Google 的 DevSecOps 理念和实践。

在我看来，DevSecOps 是对 SDL 的升级：SDL 关注开发过程的安全，适合传统的软件交付产品；DevSecOps 关注开发测试运维全过程安全，衔接更加紧密，流程上也更加便捷，因此更适合快速迭代的互联网业务。如果企业想提升产品和业务系统的安全质量，那么 DevSecOps 是目前的最佳选择之一。

同时，DevSecOps 是一个庞大的工程，它的落地需要企业有合适的组织、文化和技术架构，安全系统还要适配 DevOps 流程。来看看 Google 是怎么做的吧！本书分别从设计、实现、部署、维护这四个阶段介绍如何引入安全过程，同时还以 Chrome 团队为例，介绍了如何打造 DevSecOps 的组织和文化。通读下来，你会发现 Google 的安全理念和实践确实是行业领先的，我们需要向它学习。

最后，本书的两位译者周雨阳和刘志颖都是优秀的安全工程师，也都在腾讯安全平台部从事过开发过程安全保障工作，负责腾讯全线产品的 DevSecOps，工作经验丰富，对 DevSecOps 理解深刻，能够领悟并译出原作意图。本书也是目前市面上少有的，能够全面、系统地介绍 DevSecOps 理念及实践的中文书，推荐对 DevSecOps 感兴趣的读者阅读。

——胡珀

腾讯安全平台部应用运维安全中心总监