コード・レビュー（手動、自動、または両者の組み合わせ）は自動通知または手動によって開始できます。堅牢なセキュア・コード・レビューを実行するための現在新のベストプラクティスとしては、手動レビューと自動レビューを併用する方法があります。この併用手法により、ほとんどの潜在的な問題を捕捉できます。

セキュア・コード・レビューはソフトウェア開発ライフサイクル（SDLC）の期間中いつでも行うことができますが、早期に行うほど、コードの修正が容易で時間もかからないため、効果も大きくなります。特に、開発者がコードを実際に作成しながら自動コード・レビューを用いれば、必要に応じてすぐに変更が可能です。手動コード・レビューは、コミット・フェーズで実行する場合や、マージ・リクエストをリポジトリに送信する場合に特に有効です。また、ビジネス・ロジックや開発者の意図を考慮しながらコードをレビューすることもできます。



自動レビューでは、大規模なコードベースを迅速かつ効率的に解析できます。開発者は、コーディング中にオープンソース・ツールまたは商用ツールを使用して自動レビューを実行し、リアルタイムで脆弱性を見つけることができます。最先端の開発チームはSASTツールも使用し、追加の入力データを投入して脆弱性の発見に役立てています。これにより、開発者はチェックインする前にコードを修正できます。有効な開発プロセスとしては、開発者がコードを作成しながら自分でレビューを行う方法があります。



手動レビューでは、上級開発者または経験豊富な開発者がコードベース全体の徹底的なレビューを行います。このプロセスは面倒で時間がかかる場合がありますが、自動化ツールでは見落とされる可能性があるビジネス・ロジックの問題などの欠陥を発見できます。QAテストの階層化も有効ですが、手動テストでも見落とされる可能性があるケースがまだあります。自動レビューと手動レビューの併用をお勧めします。



手動によるレビューとSASTなどのツールからのフィードバックを組み合わせることで、コミットされるコードの全体的なセキュリティが向上し、運用環境に入り込む欠陥の数を減らすことができます。