IPA ISEC セキュア・プログラミング講座:C/C++言語編 第2章 脆弱性回避策とソフトウェア開発工程:ソースコードレビューソースコードレビューは、開発者担当者が書いたソースコードを閲読してセキュリティ脆弱性あるいはそのきざしを読み取る作業である。 ソースコードレビューで見いだされた脆弱性の情報を開発作業にフィードバックし、ソースコード修正を行う。 (1) ソースコードレビューを行う理由 プログラマが書き下ろしたソースコードは、そのままでは多くのバグといくつかのセキュリティ脆弱性を内に秘めているおそれがある。 ソースコードの正しさを検証するためにテストを行うのであるが、その前にソースコードをレビューしてブラシュアップすることにより、問題の何割かを事前に除去しておくことができる。 (2) 誰が行うか ソースコードレビューを行う人物には次が考えられる。 開発者本人 開発チームの別の担当者 開発チームとは独立したセキュリティ脆弱性対策チームのメンバ 開発者本人がソースコードを見直すことと、別の人物の眼によるチェックを
