Code Review ist die systematische Prüfung von Quellcode durch eine oder mehrere Personen, bevor der Code in den Hauptbranch aufgenommen wird. Ziel ist es, Fehler, Sicherheitslücken, Wartungsprobleme und Architekturverstöße frühzeitig zu erkennen.
ISO 27001 Annex A Control A.8.25 (Sichere Entwicklung) fordert sichere Entwicklungspraktiken — Code Review gehört zu den wirksamsten davon. Die Prüfung umfasst typischerweise: funktionale Korrektheit, Eingabevalidierung, Authentifizierungs- und Autorisierungslogik, Fehlerbehandlung, Logging und Einhaltung von Coding-Standards. In der Praxis erfolgt Code Review über Pull/Merge Requests in Plattformen wie GitHub, GitLab oder Bitbucket. Ergänzend können SAST-Tools (Static Application Security Testing) automatisiert typische Sicherheitsmuster prüfen.