PFEA111-20 强有力的风险和漏洞识别形式

连续测试:传统的DevOps生命周期包括集成和部署之间的一个离散的“测试”阶段。然而，DevOps已经取得了进步，使得测试的某些元素可以出现在规划(行为驱动的开发)、开发(单元测试、合同测试)、集成(静态代码扫描、CVE扫描、林挺)、部署(冒烟测试、渗透测试、配置测试)、运营(混乱测试、合规性测试)和学习(A/B测试)中。测试是一种强有力的风险和漏洞识别形式，并为IT提供了接受、减轻或补救风险的机会。

安全性:虽然瀑布方法和敏捷实现在交付或部署后“附加”了安全工作流，但DevOps努力从一开始(规划)就纳入安全性(此时解决安全问题最容易且成本最低)，并在开发周期的剩余部分持续进行。这种安全方法被称为向左移动(如果查看图1，就更容易理解了)。一些组织在向左转方面没有其他组织成功，这导致了DevSecOps的兴起(见下文)。15359029662咨询

合规。监管的 合规性(治理和风险)也最好在开发生命周期的早期解决。受监管的行业通常被要求提供一定程度的可观察性、可追溯性和对如何在其运行时操作环境中交付和管理功能的访问。这需要在持续交付管道和运行时环境中规划、开发、测试和实施策略。合规性措施的可审计性对于向第三方审计师证明合规性极其重要。

专栏文章内容及配图由作者撰写发布，仅供工程师学习之用，如有侵权或者其他违规问题，请联系本站处理。 联系我们