将应用程序安全性测试，集成到DevOps中的九个最佳实践( 四 )_随着DevOps实践

6.创建一个政策框架。根据风险因素制定一系列标准，以便您的团队知道哪些缺陷需要立即关注，哪些缺陷可以暂停。还要考虑为补救活动创建指导大纲，这将形成标准化协议并在临时基础上减少漏洞监控。该框架还应定义您的扫描频率，可以在您的代码变得不那么容易受到攻击时重新访问。

7.建立指标。应将良好的计量系统视为您的开发管理工作的记分卡。它揭示了您是否随着时间的推移检测到更少的错误，以及是否需要花费更多或更少的时间来识别它们。为了全面了解您的应用程序安全性，您应该定期检查您的资产覆盖率和其他性能标准：自动化与手动测试相比，表面积有多大？您接受的漏洞是什么？没有适当评估现状，就不可能有意义地改善。

8.不要将所有鸡蛋放在一个篮子里。换句话说，使您的AppSec测试方法多样化。没有适合每种情况的神奇解决方案。表现得像是聘请一名只采访过一个来源的侦探; 你需要不同的测试方法来覆盖所有角度。每一个测试工具，无论是渗透测试，软件组成分析还是模糊测试，都有其独特的目的 - 它们一起工作，就像一顿装满不同香料的食物，每种香料都带出自己的芳香味。