持续合规 是通过自动化确保软件开发过程和技术持续满足监管和安全标准的实践。手动合规检查可能会减缓开发速度并引入人为错误,而自动化检查和审计提供更快的反馈、更清晰的证据和简化的报告。 通过集成安全策略即代码工具(如 Open Policy Agent)并在 CD 管道中生成 SBOM——与 SLSA 指导保持一致——团队可以及早发现和解决合规问题。将规则和最佳实践编码化可以在不造成瓶颈的情况下,在团队间一致地执行标准。开放安全控制评估语言(OSCAL) 也显示出作为大规模自动化合规框架的前景。 持续合规的实践和工具现在已经足够成熟,应该被视为合理的默认选择,因此我们将推荐级别提升至“采纳”。AI 在编码中日益增多的使用——以及随之而来的对 AI 生成代码的自满风险,使得将合规性融入开发流程比以往任何时候都更加重要。
持续合规 是一种实践,旨在确保软件开发过程以及相关技术一直遵守行业法规和安全标准,这一过程大量依赖自动化,人工操作可能会降低开发速度并引入错误。作为替代,组织可以自动化合规检查和审计。他们可以将工具集成到软件开发流水线中,使团队能够在开发过程的早期发现并处理合规问题。将合规规则和最佳实践编码化有助于在团队间执行一致的政策和标准。它使用户能够扫描代码变更中的漏洞、强制执行编码标准以及追踪基础设施配置变更,以确保它们满足合规要求。最后,以上内容的自动化报告简化了审计工作,并提供了清晰的合规证据。我们已经讨论过诸如发布软件物料清单(SBOMs)和应用软件供应链层级建议的技术 — 很适合在早期进行这样的尝试。这种技术的好处是多方面的。首先,自动化能够带来更安全的软件,可以在早期识别并处理漏洞,其次,随着手动任务的消除,开发速度也会加快。最后,还能够降低成本和提高一致性。对于像软件驱动汽车这样的安全关键行业,自动化持续合规可以提高认证过程的效率和可靠性,最终造就更安全、更可靠的车辆。
