本文分享自华为云社区《代码静态检查为什么需要对告警去做运营？》，作者：gentle_zhou。 代码检查SAST技术支持指对代码的风格，质量和安全进行静态的检查，以发现代码中的缺陷和漏洞，提高代码的可读性，可靠性和可维护性。而其中代码检查扫描出来的告警则是指SAST检查工具发现的代码问题，通常告警会给出相应的告警级别、类型、描述、原因、正反例和修复建议。 至于为什么要对告警去做运营呢？因为告警并不是一个可以简单去做比较的指标，其多少并不能全面、直接的反映出代码质量的好坏。告警的多少取决于多种因素，比如使用了不同的检查工具，选用了不一样的规则和标准，都会导致不同类型、不同数量的告警结果；当然除了...

1.DevSecOps 近年来，大型企业DevSecOps引入占比逐年递增，从2020年的41.3%增至2022年超63.5%,其复合增长率超过20%。 DevSecOps一词最早由Gartner在2012年提出，并在最近几年逐步成为软件开发种的热点。DevSecOps在开发人员、测试人员、安全团队和运维团队之间架起了桥梁；它改善了团队之间的沟通和协作，其目标是更快、更高效地交付。DevSecOps，在DevOps的基础上增加了安全的活动，在保障快速开发、快速的部署的基础上，提高了安全性，内嵌安全到应用程序中，能够更迅速地应对安全威胁。 下图是美国国防部（DepartmentofDefe...