SEC11-BP04 Manuelle Codeüberprüfungen
Führen Sie eine manuelle Codeüberprüfung für die von Ihnen produzierte Software durch. Diese Prozess stellt sicher, dass die Person, die den Code geschrieben hat, dessen Qualität nicht allein überprüft.
Gewünschtes Ergebnis: Das Hinzufügen einer manuellen Codeüberprüfung während der Entwicklung erhöht die Qualität der geschriebenen Software, hilft dabei, weniger erfahrene Teammitglieder weiterzubilden, und ermöglicht es, Automatisierungsmöglichkeiten zu identifizieren. Manuelle Codeüberprüfungen können von automatisierten Tools und Tests unterstützt werden.
Typische Anti-Muster:
-
Vor der Bereitstellung werden keine Codeüberprüfungen durchgeführt.
-
Der Code wird von der gleichen Person überprüft, die ihn auch geschrieben hat.
-
Es wird keine Automatisierung zur Unterstützung und Orchestrierung von Codeüberprüfungen verwendet.
-
Entwickler werden nicht in Anwendungssicherheit geschult, bevor sie Code überprüfen.
Vorteile der Nutzung dieser bewährten Methode:
-
Verbesserte Codequalität
-
Erhöhte Konsistenz bei der Codeentwicklung durch erneute Verwendung gängiger Ansätze
-
Verringerte Anzahl von Schwierigkeiten, die bei Penetrationstests und in späteren Phasen entdeckt werden
-
Verbesserter Wissenstransfer innerhalb des Teams
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel
Implementierungsleitfaden
Der Überprüfungsschritt sollte als Teil des allgemeinen Codeverwaltungs-Flows implementiert werden. Die Details hängen von dem Ansatz ab, der für Verzweigen, Pull-Anforderungen und Zusammenführen verwendet wird. Sie verwenden möglicherweise AWS CodeCommit oder Drittanbieterlösungen wie GitHub, GitLab oder Bitbucket. Unabhängig von der verwendeten Methode ist es wichtig, sicherzustellen, dass Ihre Prozesse eine Überprüfung von Code erfordern, bevor dieser in einer Produktionsumgebung bereitgestellt wird. Die Verwendung von Tools wie Amazon CodeGuru Reviewer kann die Orchestrierung des Codeüberprüfungsvorgangs vereinfachen.
Implementierungsschritte
-
Implementieren Sie einen Schritt zur manuellen Überprüfung als Teil Ihres Codeverwaltungs-Flows und führen Sie diese Überprüfung durch, bevor Sie fortfahren.
-
Erwägen Sie die Verwendung von Amazon CodeGuru Reviewer
für die Verwaltung und Unterstützung bei Codeüberprüfungen. -
Implementieren Sie einen Genehmigungs-Workflow, bei dem eine Codeüberprüfung erforderlich ist, bevor Code in die nächste Phase übergehen kann.
-
Vergewissern Sie sich, dass es einen Prozess gibt, um Probleme zu identifizieren, die bei manuellen Codeüberprüfungen gefunden werden und automatisch erkannt werden könnten.
-
Integrieren Sie den Schritt zur manuellen Codeüberprüfung auf eine Weise, die mit Ihren Codeentwicklungspraktiken in Einklang steht.
Ressourcen
Zugehörige bewährte Methoden:
Zugehörige Dokumente:
Zugehörige Videos:
Zugehörige Beispiele: