序

安全是产品的默认属性。

几十年以来，全球信息技术和信息工业的发展突飞猛进。人工智能、量子信息、机器学习、大数据、区块链等新兴技术的发展加快了新兴技术在各个产业的落地，催生出智慧政务、智慧教育、智慧医疗、智慧出行、智慧民生等诸多新产业和新产品。通过电商平台，我们可以购买千里之外的商品；通过直播平台，我们可以看到世界各个角落正在发生的事情；通过出行软件，我们可以导航、预定酒店、预定门票。越来越多、越来越快的产业数字化进程彻底改变了人们的衣食住行和生产、生活方式，时至今日，科技发展已经完成了人类“地球村”的梦想构建，正朝着“元宇宙”迈进，信息科技拓展了人类对时间、空间的认知，使得人类正在进入一个人机物万物智能互联的新时代。

身处其中的我们在享受着科技发展红利的同时，也饱受信息安全与数据隐私的困扰。没有数据，我们无法享受新科技带来的便利；提供数据后，信息安全与隐私保护令我们担忧。作为数字化时代的消费者，我们期待着数字化时代的生产者们（大中型企业、开发者等）能解决好这些问题，制造出让用户既省心又放心的好产品。

在数字化产品极大丰富和数字化变革日新月异的今天，企业的首席信息官（Chief Information Officer，CIO）正在被期望成为“首席创新官”（Chief Innovation Officer），而在创新发展的道路上，尤其是《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》出台之后，众多“既要”“也要”的问题常常令CIO们夜不能寐、寝食难安，既要开拓公司业务，又要保护信息资产；既要开展用户运营，又要保护用户隐私；既要实现业务增长，又要依法合规。

如何才能研发出信息安全、应用可靠、用户放心的产品？

DevSecOps即是业界解决上述问题的工程化实践，它在产品研发过程中内置原生安全，贯穿整个产品研发的生命周期，从而保证产品制造的最终安全质量。

本书的两位作者和我共事多年，在信息安全领域有充分的理论研究和丰富的应用实践经验，他们以DevSecOps技术支撑平台为主线，分析业界头部企业的实践现状，讲述在平台的基础上，如何完成安全工作的自动化、数字化、智能化的演进。这在当前网络监管高强度、网络安全高要求的背景下，具有积极的意义，为大中型企业信息安全工作的落地实践提供指导性的参考样本。

企业通过DevSecOps体系建设和落地实践，构建安全自动化管道，为产品的生产制造赋能。依托持续集成与持续交付，嵌入威胁建模、安全设计、测试验证、安全评审等关键活动，强化产品原生安全能力，达成产品发布后的可持续安全运营。打破安全、研发、运维、测试等不同角色的边界，在数字化平台之上构建安全生态，用数字驱动安全自动化、安全智能化的迭代更新，以快速应对内外部安全风险，高效完成应急响应，缩短风险处置时间，提高业务的连续性。

安全是产品密不可分的一部分，无论是从用户使用角度，还是政府监管、生产制造商角度出发，都必须躬身入局，肩负网络安全的责任，积极思索和探讨最佳安全实践，学习优秀的网络安全建设经验，加强安全自动化，提升产品安全生产和管理水平。

——科大讯飞股份有限公司首席信息官 王宏星