コードレビュー（Code Review）

コードレビュー（Code Review）とは、ひとことで言えば、開発者が書いたソースコードを別の人が読み、バグやセキュリティ上の問題を開発段階で発見・修正するプロセスです。たとえば、プルリクエストで提出されたコードに対して、SQLインジェクションにつながる入力値の未検証や、ハードコードされた認証情報がないかを確認します。SDLC（ソフトウェア開発ライフサイクル）の早い段階で欠陥を発見するほど修正コストは低く、本番環境での脆弱性発生リスクを大幅に低減できます。自動化ツール（SAST等）と人手によるレビューを組み合わせることで、ツールが見逃すビジネスロジックの欠陥も検出でき、開発チーム全体のセキュリティスキル向上にも寄与します。