SEC11-BP04 Peninjauan kode manual

Lakukan peninjauan kode manual atas perangkat lunak yang Anda hasilkan. Proses ini membantu memverifikasi bahwa orang yang menulis kode bukan satu-satunya orang yang memeriksa kualitas kode.

Hasil yang diinginkan: Menyertakan langkah peninjauan kode manual selama pengembangan meningkatkan kualitas perangkat lunak yang ditulis, membantu mengasah kemampuan anggota tim yang kurang berpengalaman, dan memberikan peluang untuk mengidentifikasi titik yang cocok untuk otomatisasi. Peninjauan kode manual dapat didukung oleh pengujian dan alat otomatis.

Antipola umum:

Tidak melakukan peninjauan kode sebelum deployment.
Penulis dan peninjau kode adalah orang yang sama.
Tidak menggunakan otomatisasi untuk membantu atau mengatur peninjauan kode.
Tidak melatih builder agar memahami keamanan aplikasi sebelum mereka meninjau kode.

Manfaat menjalankan praktik terbaik ini:

Peningkatan kualitas kode.
Peningkatan konsistensi pengembangan kode sepanjang penggunaan ulang pendekatan umum.
Penurunan jumlah masalah yang ditemukan selama uji penetrasi dan tahap-tahap terakhir.
Peningkatan transfer ilmu di dalam tim.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang

Panduan implementasi

Langkah peninjauan harus diimplementasikan sebagai bagian dari keseluruhan alur manajemen kode. Spesifikasinya bergantung pada pendekatan yang digunakan untuk pencabangan, permintaan penarikan, dan penggabungan. Anda mungkin menggunakan AWS CodeCommit atau solusi pihak ketiga seperti GitHub, GitLab, atau Bitbucket. Apa pun metode yang Anda gunakan, penting untuk memastikan bahwa proses Anda memerlukan peninjauan kode sebelum di-deploy di lingkungan produksi. Menggunakan alat seperti Amazon CodeGuru Reviewer dapat mempermudah pengaturan proses peninjauan kode.

Langkah implementasi

Implementasikan langkah peninjauan manual sebagai bagian dari alur manajemen kode Anda dan lakukan peninjauan ini sebelum melanjutkan.
Pertimbangkan Amazon CodeGuru Reviewer untuk mengelola dan membantu dalam peninjauan kode.
Implementasikan alur persetujuan yang mengharuskan peninjauan kode selesai sebelum kode dapat lanjut ke tahap berikutnya.
Pastikan ada proses untuk mengidentifikasi masalah yang ditemukan selama peninjauan kode manual yang dapat dideteksi secara otomatis.
Integrasikan langkah peninjauan kode manual menggunakan cara yang selaras dengan praktik pengembangan kode Anda.

Sumber daya

Praktik Terbaik Terkait:

SEC11-BP02 Otomatiskan pengujian sepanjang siklus hidup pengembangan dan rilis

Dokumen terkait:

Video terkait:

Peningkatan berkelanjutan kualitas kode dengan Amazon CodeGuru

Contoh terkait:

Lokakarya Keamanan untuk Developer

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

SEC11-BP03 Lakukan uji penetrasi secara teratur

SEC11-BP05 Pusatkan layanan untuk paket dan dependensi