OWASP Code Review
La integración de la revisión del código de seguridad en el ciclo de vida de desarrollo del sistema (SDLC) permite un importante valor agregado en la calidad del código desarrollado. Se puede considerar como una de las capas de un enfoque de defensa en profundidad para la seguridad de las aplicaciones. Asimismo, La revisión de seguridad del código también es una piedra angular del enfoque basado en riesgos que debe tener la organización para desarrollar un software seguro.
Enfoque a nivel cascada
- Definición de requisitos
- Requisitos de seguridad de la aplicación
- Arquitectura y Diseño
- Arquitectura de seguridad de aplicaciones y/o modelo de amenazas
- Desarrollo
- Prácticas de codificación segura
- Pruebas de seguridad
- Revisión del código de seguridad
- prueba
- Pruebas de penetración
- Despliegue
- Gestión de configuración segura
- Implementación segura
- Mantenimiento
Enfoque a nivel Agile
- Planificación
- Identifique las historias de las partes interesadas en la seguridad
- Identificar los controles de seguridad
- Identificar casos de prueba de seguridad
- Sprints
- Codificación segura
- Casos de prueba de seguridad
- Revisión por pares con seguridad
- Despliegue
- Verificación de seguridad (con prueba de penetración y revisión del código de seguridad)