SEC11-BP04 手動のコードレビュー - セキュリティの柱

SEC11-BP04 手動のコードレビュー

作成するソフトウェアについて、手動のコードレビューを実施します。このプロセスは、コードを記述したユーザーが、コードの品質をチェックする唯一のユーザーでないことを検証する上で役立ちます。

期待される成果; 開発に手動のコードレビューステップを含めると、記述されるソフトウェアの品質が向上し、チームの経験の浅いメンバーのスキルが向上して、自動化を使用できる場所を特定する機会が提供されます。手動のコードレビューは、自動化ツールやテストによってサポートすることができます。

一般的なアンチパターン:

  • デプロイ前にコードレビューを実施していない。

  • コードの作成とレビューを同じ担当者が行っている。

  • コードレビューの支援と調整に自動化を使用していない。

  • コードレビューの前に、アプリケーションセキュリティについてビルダーをトレーニングしていない。

このベストプラクティスを活用するメリット:

  • コード品質の向上。

  • 共通のアプローチの再利用によるコード開発の一貫性の向上。

  • ペンテストや後工程において検出される問題が低減する。

  • チーム内での知識の移転が改善される。

このベストプラクティスを活用しない場合のリスクレベル:

実装のガイダンス

全体的なコード管理フローの一環として、レビューステップを実装します。詳細は、分岐、プルリクエスト、マージで使用するアプローチによって異なります。それらのアプローチでは、AWS CodeCommit、または GitHub、GitLab、Bitbucket のようなサードパーティーソリューションを使用する場合があります。使用する手法にかかわらず、プロセスを本番環境にデプロイする前に、コードのレビューが必要であることを認識することが重要です。Amazon CodeGuru Reviewer などのツールを使用すると、コードレビュープロセスのオーケストレーションが容易になります。

実装手順

  • コード管理フローの一環として手動のレビューステップを実装し、次に進む前にこのレビューを実施します。

  • コードレビューの管理と支援には、Amazon CodeGuru Reviewer の使用を検討してください。

  • コードを次のステージに進める前に、コードレビューの完了を必須とする承認フローを実装します。

  • 手動のコードレビューで発見された問題を、自動的に検出できるプロセスがないかを確認します。

  • コード開発プラクティスに沿って、手動のコードレビューステップを統合します。

リソース

関連するベストプラクティス:

関連ドキュメント:

関連動画:

関連する例: