SEC11-BP04 手動程式碼檢閱

對您製作的軟體進行手動程式碼檢閱。此程序有助於確認編寫程式碼的人員並非檢查程式碼品質的唯一人員。

預期成果：在開發期間納入手動程式碼檢閱步驟可提高所編寫軟體的品質，因此有助於提升技能較差團隊成員的程度，而且有機會識別適合實施自動化的位置。手動程式碼檢閱可獲自動化工具和測試支援。

常見的反模式：

未在部署前先執行程式碼檢閱。
編寫程式碼和檢閱程式碼是相同人員。
未使用自動化來協助或協調程式碼檢閱。
建置人員在開始檢閱程式碼之前未先經過應用程式安全的訓練。

建立此最佳實務的優勢：

程式碼品質更高。
經由重複使用常用方法而使程式碼開發更具一致性。
減少在滲透測試與後期階段找出問題的數量。
團隊內部的知識轉移效能更高。

未建立此最佳實務時的曝險等級：中

實作指引

檢閱步驟應該是在整體程式碼管理流程中的實作部分。具體步驟依據分支、提取請求與合併所使用的不同方法而定。您可能正在使用 AWS CodeCommit 或第三方解決方案 GitHub，例如 GitLab、或 Bitbucket。無論使用哪種方法，您都一定要確認這些程序必須經過檢閱程式碼，才能部署至生產環境。使用 Amazon CodeGuru Reviewer 等工具可以更輕鬆地協調程式碼檢閱程序。

實作步驟

在程式碼管理流程中實作手動檢閱步驟，並先執行這項檢閱之後，再繼續執行。
考慮使用 Amazon CodeGuru Reviewer 來管理和協助程式碼檢閱。
實作的核准流程必須先完成程式碼檢閱，程式碼才能進入下一個階段。
確認已經安排程序，可以識別將在手動程式碼檢閱期間找到，並可自動偵測出的問題。
採用符合您的程式碼開發實務之方法，整合手動程式碼檢閱步驟。

資源

相關的最佳實務：

SEC11-BP02 自動化整個開發和發行生命週期的測試

相關文件：

相關影片：

使用 Amazon 持續改善程式碼品質 CodeGuru

相關範例：

開發人員安全研討會

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

SEC11-BP03 執行定期滲透測試

SEC11-BP05 集中套件和相依性的服務