6.2.3.1
Определенные Требования к Подходу:
Если проверка кода вручную выполняется для программного обеспечения, изготовленного на заказ, перед выпуском в производство, изменения кода:
- Проверено лицами, не являющимися автором исходного кода, и которые хорошо осведомлены о методах проверки кода и методах безопасного кодирования.
- Рассмотрено и одобрено руководством перед выпуском.
Цель Индивидуального подхода:
Процесс проверки кода вручную невозможно обойти, и он эффективен при обнаружении уязвимостей в системе безопасности.
Примечания по применению:
Ручные проверки кода могут проводиться квалифицированным внутренним персоналом или квалифицированным сторонним персоналом.
Лицо, которому официально была предоставлена ответственность за контроль выпуска и которое не является ни автором исходного кода, ни рецензентом кода, соответствует критериям руководства.
Определенные Процедуры Тестирования Подхода:
- 6.2.3.1.a Если для программного обеспечения, изготовленного на заказ и изготовленного на заказ, выполняются проверки кода вручную перед выпуском в производство, изучите документированные процедуры разработки программного обеспечения и опросите ответственный персонал, чтобы убедиться, что процессы определены для проведения проверок кода вручную в соответствии со всеми элементами, указанными в этом требовании.
- 6.2.3.1.b Изучить доказательства изменений в программном обеспечении, изготовленном на заказ, и провести собеседование с персоналом, чтобы убедиться, что проверка кода вручную проводилась в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Проверка кода кем-либо, кроме первоначального автора, который имеет опыт в проверке кода и осведомлен о методах безопасного кодирования, сводит к минимуму вероятность того, что код, содержащий ошибки безопасности или логические ошибки, которые могут повлиять на безопасность данных о держателях карт, будет выпущен в производственную среду. Требование одобрения руководством того, что код был пересмотрен, ограничивает возможность обхода процесса.
Надлежащая практика:
Было обнаружено, что наличие официальной методологии проверки и контрольных списков проверки повышает качество процесса проверки кода.
Проверка кода - утомительный процесс, и по этой причине он наиболее эффективен, когда рецензенты просматривают только небольшие объемы кода за один раз.
Для поддержания эффективности проверок кода полезно отслеживать общую рабочую нагрузку проверяющих и поручать им проверять приложения, с которыми они знакомы.
Проверка кода может выполняться с использованием либо ручных, либо автоматизированных процессов, либо комбинации того и другого.
Права, которые полагаются исключительно на ручную проверку кода, должны гарантировать, что проверяющие поддерживают свои навыки посредством регулярного обучения по мере обнаружения новых уязвимостей и рекомендуются новые безопасные методы кодирования.
Дополнительная информация:
См. Руководство по обзору кода OWASP.
