SEC11-BP04 Análises manuais de código

Realize uma análise manual do código do software que você produzir. Esse processo ajuda a verificar se a pessoa que escreveu o código não é a única que está conferindo sua qualidade.

Resultado desejado: incluir uma etapa manual de revisão de código durante o desenvolvimento aumenta a qualidade do software que está sendo escrito, ajuda a capacitar membros menos experientes da equipe e oferece a oportunidade de identificar locais onde a automação pode ser usada. É possível oferecer compatibilidade com as análises de código manuais com ferramentas e testes automatizados.

Práticas comuns que devem ser evitadas:

Não realizar análises de código antes da implantação.
Usar mesma pessoa para escrever e analisar o código.
Não utilizar a automação para auxiliar ou orquestrar as análises de código.
Não treinar os criadores em segurança de aplicações antes de analisarem o código.

Benefícios de implementar esta prática recomendada:

Código de melhor qualidade.
Maior consistência do desenvolvimento do código por meio da reutilização de abordagens comuns.
Redução no número de problemas descobertos durante o teste de penetração e em estágios posteriores.
Maior transferência de conhecimentos na equipe.

Nível de risco exposto se esta prática recomendada não for estabelecida: Médio

Orientação para implementação

A etapa de análise deve ser implementada como parte do fluxo de gerenciamento de código geral. Os detalhes dependem da abordagem utilizada para ramificação, solicitações de pull e mesclagem. Você pode utilizar o AWS CodeCommit ou soluções de terceiros, como GitHub, GitLab ou Bitbucket. Seja qual for o método utilizado, é importante verificar se seus processos precisam de análise de código antes da implantação em um ambiente de produção. O uso de ferramentas como o Amazon CodeGuru Reviewer pode facilitar a orquestração do processo de revisão de código.

Etapas de implementação

Implemente uma etapa de análise manual como parte do fluxo de gerenciamento de código e realize essa análise antes de prosseguir.
Considere o Amazon CodeGuru Reviewer para gerenciar e auxiliar nas análises de código.
Implemente um fluxo de aprovação que exija a realização de uma análise de código antes de avançá-lo para o próximo estágio.
Verifique se há um processo para identificar problemas encontrados durante as análises de código manuais que possam ser detectados automaticamente.
Integre a etapa de análise de código manual de forma que se alinhe às suas práticas de desenvolvimento de código.

Recursos

Práticas recomendadas relacionadas:

SEC11-BP02 Automatizar o teste durante o ciclo de vida de desenvolvimento e lançamento

Documentos relacionados:

Vídeos relacionados:

Melhoria contínua da qualidade do código com o Amazon CodeGuru

Exemplos relacionados:

Workshop Segurança para desenvolvedores

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

SEC11-BP03 Realizar teste de penetração regular

SEC11-BP05 Centralizar serviços para pacotes e dependências