何时执行安全代码检查？

Question

OWASP建议在整个SDLC过程中执行安全代码检查。虽然在将代码转移到生产之前执行安全代码检查是有意义的，但是这里的任何人能帮助解释在QA和UAT测试之前执行安全编码是否有意义。问题如下：

1. 测试后执行安全代码不是浪费资源吗？如果补救是必需的后安全代码审查，那么代码将需要进行QA和UAT再次测试，以确保业务需求得到满足。
2. Visual和(TFS)中的实时代码安全代码评审是否能够解决安全代码评审需求，或者是否需要重新编译和扫描代码以确保所有漏洞都得到了解决？

谢谢!

Answer 1

自动安全代码检查可以在任何时候完成，它可能会失败在不完整或破损的代码上。

我喜欢我的代码评审，就像我喜欢Qualys的漏洞扫描一样。尽可能多地在不干扰业务的情况下(日常高风险资产，周末整个业务)。每一次提交都应推动自动评审，而失败则应立即反馈给开发人员。

代码评审不需要编译所述代码。事实上，从安全的角度来看，即使代码不能编译，代码也可以通过安全检查。

与其在开发周期中构建问题，不如在开发周期早期发现问题并修复它。