来说，应用程序安全行为分析(ASBA)可以监视多个元素，其中包括访问源代码存储库的人员或内容、从Nexus提取的人员、对Jenkins工作流所做的更改等等。应用程序安全行为分析(ASBA)还可以提供取证数据，并最终阻止未经授权的活动。  其次，在开发过程中使用第三方代码会带来安全风险，特别是随着开源组件使用的增加。当这些构件和复杂的漏洞与扫描程序发现可利用的漏洞的相对无效相结合时，安全风险将会显著增加。  TrueFort平台及其应用程序安全行为分析(ASBA)方法可通过检测行为异常来提供针对运行时应用程序保护的最后一道防线，并确保检测行为异常与执行攻击的方法无关，无论是第三方或自定义代码中的漏洞还是其他原因。  第三，虽然产品团队通常采用测试驱动开发(TDD)使软件测试实现自动化，但很少有产品具有足够的安全验证。这包括评估工件(容器、WAR文件等)、代码和API的实现，以确保在将其发布之前它们是安全的。尽管代码质量和代码分析可能会带来安全性，但不能将其视为一个包罗万象的东西。  应用程序安全行为分析(ASBA)可以提供关键的反馈循环，以增强验证阶段的防御能力。  例如，在2019年7月8日，Ruby库强密码中报告了一个零日漏洞。这个零日漏洞在数据库中没有被识别，因此没有这些漏洞源的静态和动态代码分析工具不太可能检测到问题。防火墙也受到同样的限制。也就是说，防火墙通过阻止已知威胁而不是零日攻击来保护外围并防止数据泄漏。  相比之下，应用程序安全行为分析(ASBA)会在POST活动中检测到异常统一资源定位系统(URL)，并向其发出警报，该URL只在数据库遭到破坏后才发生。在此示例中，应用程序安全行为分析(ASBA)通过降低风险、影响和可能性来增加验证阶段的实力和深度。  测试阶段(UAT、负载、A：B)也是开始使用应用程序安全行为分析(ASBA)剖析正常行为的理想阶段，因为应用程序在构建后便立即起作用。通过观察用户接受、压力测试等过程中的行为，可以构建安全策略来检测、预防和保护。例如，诸如Chaos Monkey之类的工作负载模拟和弹性工具会生成流量和有价值的数据集，可用于通知站点可靠性工程(SRE)、开发事件响应流程，实施微细分策略以及使响应工作流程自动化。  运行时进行保护  在理想情况下，已部署的应用程序将吸取在开发和测试过程中的所有安全经验。这似乎显而易见，但往往被部分或完全忽视。  在Devops圈子中经常听到“我们在生产中测试”这句话。实际上这是可行的，因为部署架构、操作、规模和生产中的其他因素是唯一的。而且，A：B测试以及Canary测试、部署和操作使这种独特性更加复杂，所有这些产生了不同的用例。  应用程序安全行为分析(ASBA)通过在反馈回路中提供见解来帮助优化站点可靠性工程，实现服务水平目标，从而弥补测试与部署之间的鸿沟。  与传统的应用程序性能管理(APM)或日志分析解决方案不同，应用程序安全行为分析的实时警报和取证审核功能可以提供可行的答案，并消除查询非结构化数据的线索的需要。这样，应用程序安全行为分析(ASBA)可以在整个安全开发生命周期(SDLC)中以及部署和运行应用程序时提供对威胁的可见性。