在参考平台中，整个应用系统的运行状态或执行状态是由于基础设施代码（例如，用于服务间通信的网络路由、资源配置代码）、策略代码（例如，指定认证和授权策略的代码）和会话管理代码（例如，建立 mTLS 会话的代码、生成 JWT 令牌的代码）的执行的组合，这些代码由可观测性作为代码的执行所揭示。服务网格的可观测性代码在运行期间将基础设施、策略和会话管理代码的执行输出转发给各种监控工具，这些工具产生适用的指标和日志聚合工具以及追踪工具，这些工具又将其输出转发给集中式仪表板。作为这些工具输出的组成部分的分析，使系统管理员能够获得整个应用系统运行时状态的综合全局视图。正是通过持续监控和零信任设计功能实现的 DevSecOps 平台的运行时性能，为云原生应用提供了所有必要的安全保障。

在 DevSecOps 管道中，实现持续 ATO 的活动是：

• 检查合规的代码。可以检查以下代码是否符合《风险管理框架》的规定

(a) IaC：生成网络路线，资源配置 (b) 策略即代码：对 AuthN 和 AuthZ 策略进行编码 (c) 会话管理代码：mTLS 会话，JWT 令牌 (d) 可观测性代码

具体的风险评估功能包括生成可操作的任务的能力，指定代码级别的指导，以及用于验证合规性的测试计划。此外，风险评估工具可以为仪表盘中显示的所有工件提供完整的可追溯性，以及持续 ATO 所需的报告能力。

• 显示运行时状态的仪表板。通过触发新管道的过程，提供修复安全和性能瓶颈问题（影响可用性）所需的警报和反馈。此外，仪表盘生成工具有一些功能，使系统管理员能够分析宏观层面的特征，以及根据不断发展的系统和消费者对应用程序运行环境的需求，动态地改变要显示的工件的构成。

• 下一章