SAST、DAST、SCA、ライセンスチェックなどの自動セキュリティツールを使用すると、コードベース内のセキュリティ問題を特定するために必要な労力を大幅に削減できます。しかし、ツールだけでは全てのセキュリティ問題特定ができないケースが多くあります。セキュリティの問題の一部がビジネスロジック内に埋め込まれていたり、または自動セキュリティツールでは検出できない方法で抽象化されていることがあるため、Secure Code Reviews を行うことは大変重要です。
小規模企業の場合、セキュアコードレビューは、OWASP Top 10 やMitre Top 25 などのセキュアコーディングガイドラインに従ったピアコードレビューを通じて行うことができます。
より大きな開発リソースを持つ中規模および大規模企業の場合、セキュアコードレビューは、熟練した開発者およびサブジェクトマターエキスパート(SME)であるコアセキュリティチームが行うことができます。しかし、時間が経つにつれて、ターンアラウンドタイムを減らすために、すべての開発者にセキュアコーディングの知識を付与することが重要になってきます。
このモジュールでは、セキュリティテストツールで検出されなかった残りの脆弱性を確認し、除去し、最後に修正を検証します。