对于企业应用，假设我们的开发团队做的大量微小更改（以两、三个星期为迭代周期），那么我的进行复杂安全检查的频率该如何？

定期（如每个季度或每六个月）对应用进行复杂安全检查，或在每次重大更改后进行检查，这是一个通用规则。这样，你就会发现担缺陷，这些缺陷可能会被引入到代码中的，会被别人发现的，或被你的安全测试工具或渗透测试器检测到。

你开发团队需要考虑，对于你的应用和公司，什么才是重大改变。在代码方面和整体攻击层上，每两周或三周的微小更改可累积成大改变。我曾经做过一个项目，我发现了web应用中的SQL注入。猜猜发生了什么？最初的SQL注入缺陷被再次引入，随之而来的就是没有执行安全测试。不幸的是，一个罪恶的黑客发现了这一缺陷，然而企业突然出现了信用卡数据漏洞要处理。

有些人几乎实时扫描他们的应用和源代码，而还有些人是每几个月进行一次。你可能会经常扫描（如，每周或每月），同时执行更加复杂的安全评估时减少频率（如，每年一、两次）。

大量小型迭代，对于不断迭代运行自动化扫描可能会有产生意义。例如，两星期迭代，对于每两周进行源代码扫描很有意义。如果安全问题持续出现，那么就考虑现加频繁地扫描来清除源。如果问题鲜少出现，你可能会降低频率到每月一次。这一常规扫描将会在深层的安全审计之间保证应用的安全。

我无法回答你的问题，因为并没有这样一个神奇的数字可以说明最佳频率，但我可以说，你需要定期地，并持续地进行复杂安全检查。只有你自己知道什么才是对你的环境和企业是最好的。频繁的小检查可以给你反馈，让你做出决定。