SEC11-BP04 Revisioni del codice manuale

Esegui una revisione manuale del codice del software che produci. Questo processo ti consente di assicurarti che chi ha scritto il codice non sia l'unica persona a controllarne la qualità.

Risultato desiderato: l'inclusione di una fase di revisione manuale del codice durante lo sviluppo aumenta la qualità del software scritto, migliora le competenze dei membri meno esperti del team e consente di identificare i luoghi di possibile uso dell'automazione. Le revisioni manuali del codice possono essere supportate da strumenti e test automatici.

Anti-pattern comuni:

Nessuna revisione del codice prima dell'implementazione.
Scrittura e revisione del codice effettuate dalla stessa persona.
Mancato utilizzo dell'automazione per semplificare o orchestrare le revisioni del codice.
Mancata formazione degli sviluppatori sulla sicurezza dell'applicazione prima di eseguire la revisione del codice.

Vantaggi dell'adozione di questa best practice:

Migliore qualità del codice.
Maggiore coerenza dello sviluppo del codice attraverso il riutilizzo di approcci comuni.
Riduzione del numero di problemi riscontrati durante i test di penetrazione e nelle fasi successive.
Migliore circolazione delle informazioni all'interno del team.

Livello di rischio associato se questa best practice non fosse adottata: medio

Guida all'implementazione

La fase di revisione deve essere implementata nell'ambito del flusso complessivo di gestione del codice. Le specifiche dipendono dall'approccio usato per la diramazione, le richieste pull e l'unione. Potresti utilizzare soluzioni di terze parti come GitHub GitLab, AWS CodeCommit o Bitbucket. Indipendentemente dal metodo usato, è importante verificare che i processi richiedano la revisione del codice prima dell'implementazione in un ambiente di produzione. L'utilizzo di strumenti come Amazon CodeGuru Reviewer può semplificare l'orchestrazione del processo di revisione del codice.

Passaggi dell'implementazione

Implementa una fase di revisione manuale nell'ambito del flusso di gestione del codice ed esegui la revisione prima di continuare.
Prendi in considerazione Amazon CodeGuru Reviewer per la gestione e l'assistenza nelle revisioni del codice.
Implementa un flusso di approvazione che richieda il completamento di una revisione prima che il codice possa passare alla fase successiva.
Verifica che sia stato definito un processo per identificare i problemi riscontrati durante le revisioni manuali del codice rilevabili in automatico.
Integra la fase di revisione manuale del codice in modo che sia allineata alle pratiche di sviluppo del codice.

Risorse

Best practice correlate:

SEC11-BP02 Automatizza i test durante tutto il ciclo di vita di sviluppo e rilascio

Documenti correlati:

Video correlati:

Miglioramento continuo della qualità del codice con Amazon CodeGuru

Esempi correlati:

Workshop Security for Developers

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

SEC11-BP03 Esegui test di penetrazione regolari

SEC11-BP05 Centralizza i servizi per pacchetti e dipendenze