Security — це частина якості, а не окремий “аудит раз на рік”
Більшість security‑інцидентів можна зловити на рев’ю: невалідовані дані, неправильні доступи, витоки в логах. Достатньо короткого чеклиста і звички дивитись на ризики.
1) Доступи
- Чи є авторизація на кожну дію (не лише на сторінку)?
- Object‑level checks: чи можна дістати чужий ресурс по ID?
2) Валідація і ін’єкції
- Валідація input на бекенді.
- SQL/NoSQL injection, XSS, SSRF — чи є захист?
3) Секрети і конфіг
Не комітити ключі, токени, приватні URL. Перевірити, що секрети не потрапляють в логи/клієнтський код.
4) Логи і PII
Маскування PII, мінімум даних в логах, контроль доступу до лог‑системи.
Підсумок
Security‑review у PR — це кілька системних перевірок: доступи, валідація, секрети, логи. Воно різко зменшує ризик інцидентів без уповільнення команди.