序

我和纪海于2020年在深圳举办的DevOps社区活动中相识，并一同在金融机构实施DevOps方面做过经验交流。之后在纪海的组织下，我们在广州和深圳两地又举办过多次DevOps社区活动，并且在不同的领域有了更多的沟通。近期纪海决定把自己在DevSecOps领域的多年实践经验以图书的形式在更大范围内分享并邀请我作序，我欣然应邀，相信本书对国内企业的DevSecOps转型会有重要的参考价值。

在过去的10年中，本人有幸参与了大型金融机构的数字化转型工作。在转型过程中，如何为企业建立一套高效和切实可行的研发流程，并对研发流程的关键节点进行有效的跟踪和监控，是实现科技团队数字化、精细化管理的核心工作之一。做好这个转型并非易事，它既需要高效灵活的工具作为辅助，又需要企业管理层和所有员工在思维方式上做相应的转变。目前国内企业在DevSecOps转型过程中普遍遇到了如下挑战。

1）IT成熟度相对较低。很多企业核心系统自研比例低，自有IT人员少，大量采用外购系统和使用外包人员，IT团队和软件系统成熟度低。

2）管理理念落后。一些企业科技侧的管理人员在交付压力较大的情况下，在推动科技团队数字化和精细化管理方面主动性不足，数字化管理理念相对欠缺。

3）人才短缺。目前在软件开发质量管理和研发效能度量方面，经验丰富的人才缺口较大，市场上该类人才的供给明显不足。

4）安全和效率的平衡。对很多企业来说，安全已经成为DevOps发展的阻碍，企业的研发人员认为安全要求降低了IT对业务需求的响应速度。这就要求企业在系统安全管理上也要积极转型，以适应DevSecOps全新的研发流程。

针对以上挑战，企业管理者需要积极转变思维方式，引领团队主动拥抱变革，在人才培养、系统建设、工具研发等方面积极探索适合企业发展的模式，全面提升企业的研发效能和交付速度。

本书对DevSecOps的理论知识进行了详细的讲解，并且融入了DevSecOps建设过程中的很多经验分享，相信对那些已经在参与或者即将参与企业敏捷和DevSecOps转型的读者一定会有所帮助。

平安银行资金同业CTO　李玮