SEC11-BP04 Revisiones manuales del código

Lleve a cabo una revisión manual del código del software que produce. Este proceso ayuda a verificar que la persona que ha escrito el código no es la única que comprueba su calidad.

Resultado deseado: incluir un paso de revisión manual del código durante el desarrollo aumenta la calidad del software que se está programando, ayuda a mejorar las competencias de los miembros del equipo con menos experiencia y ofrece la oportunidad de identificar los puntos en los que se puede utilizar la automatización. Las revisiones manuales del código pueden apoyarse en herramientas y pruebas automatizadas.

Patrones comunes de uso no recomendados:

No revisar el código antes de la implementación.
Tener una misma persona que escriba y revise el código.
No utilizar la automatización para ayudar u organizar las revisiones del código.
No formar a los creadores sobre la seguridad de las aplicaciones antes de que revisen el código.

Beneficios de establecer esta práctica recomendada:

Mayor calidad del código.
Mayor coherencia en el desarrollo del código gracias a la reutilización de estrategias comunes.
Reducción del número de problemas revelados durante las pruebas de penetración y etapas posteriores.
Mejora de la transferencia de conocimientos dentro del equipo.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio

Guía para la implementación

La etapa de revisión debe implementarse como parte del flujo general de gestión del código. Los pormenores dependen del planteamiento utilizado para la bifurcación, las solicitudes de incorporación de cambios y la fusión. Utilice AWS CodeCommit o soluciones de terceros como GitHub, GitLab o Bitbucket. Sea cual sea el método que utilice, es importante verificar que sus procesos requieren la revisión del código antes de implementarlo en un entorno de producción. El uso de herramientas como el Revisor de Amazon CodeGuru puede facilitar la organización del proceso de revisión del código.

Pasos para la implementación

Implemente un paso de revisión manual como parte del flujo de administración de código y lleve a cabo esta revisión antes de continuar.
Considere usar el Revisor de Amazon CodeGuru para gestionar y ayudar en las revisiones de código.
Implemente un flujo de aprobación que exija que se complete una revisión del código antes de que este pueda pasar a la siguiente etapa.
Compruebe que existe un proceso para identificar los problemas encontrados durante las revisiones manuales del código que podrían detectarse automáticamente.
Integre el paso de revisión manual del código de forma que se ajuste a sus prácticas de desarrollo de código.

Recursos

Prácticas recomendadas relacionadas:

SEC11-BP02 Automatización de las pruebas a lo largo del ciclo de vida de desarrollo y lanzamiento

Documentos relacionados:

Videos relacionados:

Continuous improvement of code quality with Amazon CodeGuru

Ejemplos relacionados:

Security for Developers workshop

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

SEC11-BP03 Pruebas de penetración periódicas

SEC11-BP05 Centralización de servicios para paquetes y dependencias