将应用程序安全性测试，集成到DevOps中的九个最佳实践( 三 )_随着DevOps实践

3.优先考虑业务关键型应用程序。黑客通常是通过获得目标的“皇冠上的宝石”来激励的，因为他们的价值与公司在某一天获得的金额直接相关; 如果违反，企业可能会以其他方式受到损害。如果您想知道应用程序安全性测试的下一个应该是哪个资产，请始终选择对公司底线最重要的组件。

4.不要忘记第三方代码安全性。随着外部创建的应用程序的增加，现成的或通过开源收集的应用程序，公司应该仔细检查这些组件，检查他们自己的代码。这是特别相关的，因为许多被认为是内部的应用程序实际上是由第三方库和资产组成的。更重要的是，大量第三方软件不符合IT安全标准，这意味着它们充满了漏洞并且可以轻松利用。

5.关注自动化。尽管自动化工具可以节省宝贵的时间，但它们可以提供多少好处的门槛。存在许多其他工具更适合识别不同类型的漏洞：例如，静态分析可以检测并修复简单的缺陷，无论是在内部还是在货架外发现; 动态分析有利于保护和监控各种Web应用程序，包括您不知道的应用程序。