Come dovrei andare a selezionare un'azienda di revisione del codice?
Il primo passo è rivedere il codice il più accuratamente possibile internamente. Guardala tu stesso e chiedi ai colleghi di fare lo stesso (a condizione che siano competenti e affidabili a farlo)
Dopo di ciò, potresti considerare di mostrarne alcuni o tutti a enti esterni con cui hai dimestichezza, come le aziende partner con cui collabori nei progetti - questo ovviamente dipende dalle dimensioni e dallo stato della tua attività - un solo operatore può lotta con questo.
Quindi, la selezione di un revisore del codice dipenderà dalle circostanze. Gran parte di questo dipende dal fatto che si stia cercando un accreditamento normativo di qualsiasi tipo, come PCI-DSS: qualsiasi regolatore che richieda la verifica del codice di solito ha scelto aziende specifiche per farlo.
Un buon approccio se non avete mai avuto alcun codice sottoposto a verifica prima, è iniziare con un progetto di bassa sicurezza, sottoposto a revisione, nell'interesse di valutare le pratiche e il servizio del revisore, prima di dare loro un lavoro su larga scala. Come la scelta di un commerciante, molto si riduce alla creazione di una relazione di lavoro, e valutandoli su quello.
Oltre a ciò che @owen ha detto. Il posto principale dove si ottiene il revisore del codice di sicurezza è la penetration testing / società di consulenza sulla sicurezza. Elementi chiave da tenere in considerazione
Leggi altre domande sui tag code-review