ISGroup Consultoría de Ciberseguridad

Code Review: Qué hacer y qué no hacer en la revisión de código

Aquí tienes algunas prácticas recomendadas y errores a evitar durante la revisión de código (code review):

Prácticas Recomendadas

  1. Claridad de Objetivos:
    • Antes de comenzar una revisión, asegúrate de saber qué estás buscando. La revisión puede centrarse en la seguridad, la funcionalidad, la mantenibilidad o el estilo del código. Cada aspecto requiere una atención diferente y un enfoque específico.
  2. Enfoque Colaborativo:
    • Considera la revisión de código como una actividad colaborativa en lugar de una oportunidad para criticar. Es importante mantener un diálogo constructivo con quien escribió el código, proporcionando retroalimentación útil y proponiendo soluciones siempre que sea posible.
  3. Documentación de Conflictos:
    • Si surgen conflictos durante la revisión del código, asegúrate de que exista un proceso definido para resolverlos. Esto puede incluir la consulta de las directrices de la empresa o la solicitud de una opinión externa.
  4. Tiempo Adecuado:
    • No apresures la revisión del código. Aunque es importante proceder con urgencia, especialmente cuando otros miembros del equipo están esperando, es esencial dedicar el tiempo necesario para identificar correctamente los errores de seguridad y funcionalidad.

Prácticas a Evitar en la Code Review

  1. Críticas Constantes e Injustificadas:
    • Evita encontrar defectos en el código solo por el gusto de hacerlo. Si criticas constantemente sin un motivo válido, corres el riesgo de perder credibilidad y crear un ambiente de trabajo hostil.
  2. Falta de Preparación:
    • No inicies una revisión sin conocer el contexto del código o las expectativas relativas a su función. Una revisión eficaz requiere una buena comprensión de las especificaciones técnicas y de los estándares de codificación adoptados por la organización.
  3. Ignorar la Importancia del Dominio de Conocimiento:
    • Un revisor debe tener un buen conocimiento del dominio al que pertenece el código. Si no conoces bien el área específica (por ejemplo, normativas de cumplimiento o riesgos empresariales), corres el riesgo de pasar por alto vulnerabilidades importantes.
  4. No Definir los Artefactos de la Revisión:
    • Asegúrate de que la revisión produzca los resultados esperados, como informes de errores, recomendaciones de seguridad o correcciones al código. Sin una definición clara de qué debería surgir de la revisión, el proceso corre el riesgo de ser ineficaz.

Estas prácticas ayudan a garantizar que la revisión del código no sea solo técnica, sino también sensible a los aspectos humanos y colaborativos, promoviendo un entorno de desarrollo sano y productivo.

🔙 ¡Vuelve a la miniserie de ISGroup SRL dedicada a la Code Review!

In