将应用程序安全性测试，集成到DevOps中的九个最佳实践( 二 )_随着DevOps实践

然而，更紧迫的最后期限意味着DevOps团队经常被迫加入生产，应用程序点缀着缺陷，这可能会导致明天的安全问题并导致代价高昂的安全漏洞。为了打击黑客的欺骗性复杂性并提高敏捷性，公司必须安装应用程序安全（AppSec）测试框架，以便在不耗尽时间和开发资源的情况下修复漏洞。如果您的组织尚未实施，请考虑采用以下最佳做法列表来阻止黑客入侵。

1.尽早嵌入AppSec以获得最佳效果。如果您将测试推迟到开发过程的结束阶段，您的团队最终将完成比最初计划更多的工作。漏洞很难被发现并且不仅仅是补丁。此外，这是一个昂贵的习惯 - 最后一分钟的代码更改总是比开发过程中早期的代码更改。当你通过代码搜索记录和修复缺陷和其他漏洞时，你也会耗尽你的团队。

2.开发良好的手动测试实践。虽然自动化对DevSecOps至关重要，但手动测试仍应是工作流程的必备组件，因为人们可以检测到算法无法解决的一系列错误。自动化工具缺乏创造性的复杂性，无法在测试基础漏洞之外进行冒险。扫描仪器无论多好，通常都无法识别身份验证和授权错误。只有真正的人才可以进入黑客的行列并检查所有资产，以检查是否有可能进行剥削。