SEC11-BP04 Revisiones manuales del código
Realice una revisión manual del código del software que produce. Este proceso ayuda a verificar que la persona que ha escrito el código no es la única que comprueba su calidad.
Resultado deseado: La inclusión de un paso de revisión manual del código durante el desarrollo aumenta la calidad del software que se está escribiendo, ayuda a mejorar las competencias de los miembros con menos experiencia del equipo y da la oportunidad de identificar los puntos en los que se puede utilizar la automatización. Las revisiones manuales del código pueden apoyarse en herramientas y pruebas automatizadas.
Patrones comunes de uso no recomendados:
-
No revisar el código antes del despliegue.
-
Tener una misma persona que escriba y revise el código.
-
No utilizar la automatización para ayudar u organizar las revisiones del código.
-
No formar a los creadores sobre la seguridad de las aplicaciones antes de que revisen el código.
Beneficios de establecer esta práctica recomendada:
-
Mayor calidad del código.
-
Mayor coherencia en el desarrollo del código gracias a la reutilización de estrategias comunes.
-
Reducción del número de problemas revelados durante las pruebas de penetración y etapas posteriores.
-
Mejora de la transferencia de conocimientos dentro del equipo.
Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio
Guía para la implementación
La etapa de revisión debe implementarse como parte del flujo general de gestión del código. Los pormenores dependen del planteamiento utilizado para la bifurcación, las solicitudes de incorporación de cambios y la fusión. Utilice AWS CodeCommit o soluciones de terceros como GitHub, GitLab o Bitbucket. Sea cual sea el método que utilice, es importante verificar que sus procesos requieren la revisión del código antes de desplegarlo en un entorno de producción. El uso de herramientas como Amazon CodeGuru Reviewer puede facilitar la organización del proceso de revisión del código.
Pasos para la aplicación
-
Implemente un paso de revisión manual como parte del flujo de administración de código y realice esta revisión antes de continuar.
-
Considere Amazon CodeGuru Reviewer
para administrar y ayudar en las revisiones de código. -
Implemente un flujo de aprobación que exija que se complete una revisión del código antes de que este pueda pasar a la siguiente etapa.
-
Compruebe que existe un proceso para identificar los problemas encontrados durante las revisiones manuales del código que podrían detectarse automáticamente.
-
Integre el paso de revisión manual del código de forma que se ajuste a sus prácticas de desarrollo de código.
Recursos
Prácticas recomendadas relacionadas:
Documentos relacionados:
-
Working with pull requests in AWS CodeCommit repositories (Trabajo con solicitudes de incorporación de cambios en repositorios de AWS CodeCommit)
-
Working with approval rule templates in AWS CodeCommit (Trabajar con plantillas de reglas de aprobación en AWS CodeCommit)
-
About pull requests in GitHub
(Acerca de las solicitudes de incorporación de cambios en GitHub) -
Automate code reviews with Amazon CodeGuru Reviewer
(Revisiones automáticas de código con Amazon CodeGuru Reviewer) -
Automating detection of security vulnerabilities and bugs in CI/CD pipelines using Amazon CodeGuru Reviewer CLI
(Automatización de la detección de vulnerabilidades y errores de seguridad en los procesos CI/CD mediante la CLI de Amazon CodeGuru Reviewer)
Vídeos relacionados:
-
Continuous improvement of code quality with Amazon CodeGuru
(Mejora continua de la calidad del código con Amazon CodeGuru)
Ejemplos relacionados:
-
Security for Developers workshop
(Taller de seguridad para desarrolladores)
