什么是合规？一般来说，合规意味着遵守为你设定的一套规则。如你所见，这是一个相当简单的概念。

但尽管合规很简单，但在对产品进行编码时，它也至关重要——尤其是在现在，法规越来越多。

如果您在 LinkedIn 上搜索“合规”一词，您会发现对具有合规相关技能的专业人士的需求很大。

合规为何变得如此重要？我们为何需要这些合规专业人员？

很久以前，合规很简单。你需要将某样东西投入生产，然后遵循一套简单的规则。然后你将其交付，然后接受检查。

但慢慢地，规则开始稳步增长，监管机构也不断地增加这些规则。

因此，在构建产品时，您需要牢记许多规则。遵守所有这些规则非常困难。这会阻碍开发人员实现将产品投入生产的最终目标。

但归根结底，你还是需要遵守规定。所以开发者必须遵守规则。

合规意识

团队中的每个人都明白合规性是产品和工作的重要组成部分。他们只是希望能够满足合规性，而无需进行复杂的流程。

每个人都知道合规的必要性。但在日常工作中，团队成员通常只是完成自己的工作。合规只是他们脑海中的一个想法。

然后，大约每年两次，当产品准备投入生产时，人们开始关注合规性，并提高对合规性的认识。但到那时，通常为时已晚。他们不得不浪费一个冲刺时间才能完成。

流程，而非产品

还有另一个需要考虑的事实：合规性重点的团队可能了解整个流程应该如何进行，但对产品本身却一无所知。

值得一提的是，并非所有事情都会被检查。当有大量随机变化时，合规性检查通常会在流程结束后数月进行。

因此团队成员可能会认为，如果流程出了问题，产品也会出问题，反之亦然。但事实并非如此。

流程可能很完美，而且一切可能都符合要求。但这并不意味着最终产品一定没问题。

如何解决这个问题？

由新泽西理工学院和纽约大学创建的名为“In-Toto”的框架，可以确保软件供应链的完整性。下面是它的工作原理。

如果你研究一下你的供应链，你会发现你的产品要经过几个步骤。每个步骤都允许一些人工作。第一步完成后，供应链将进入第二步，依此类推，直到产品投入生产。采用的框架 In-Toto 可帮助你在每个步骤后进行检查。

首先，您需要从一份布局开始，其中描述了要采取的步骤以及流程应该如何进行。然后，可以按照布局说明实际执行这些步骤。

来自 Gert Jan van Halem 的“Compliance as Code”演示文稿的示例 In-Toto 流程，仅用于演示目的。

流程的最后一部分是检查。在这个阶段，您将收到一份报告，说明产品是否合格。如果产品通过了检查，就可以投入生产。如果没有，您可以回头看看需要完成哪些步骤。

流程和产品

如果您采用 In-Toto 这样的框架，事情就会变得简单得多。现在您可以同时检查流程和产品。可以以某种方式描述流程，而且流程是经过编码的，因此不会产生误解。

遵循此系统意味着您还检查了产品，确保没有任何东西被篡改。您在每个步骤之间检查了它，因此您确定它按预期工作。如果没有，您就知道问题出在哪里。如果出现问题，可以立即修复。合规意识是日常工作的一部分

概括

拥有合规性框架意味着开发人员可以轻松地解决合规性问题，并将其作为日常工作的一部分。它确保您可以生产出合规的产品，您确信该产品没有被篡改，并且能够按预期运行。

—