2.9 安全代码审查与合规性

许多组织机构有维护软件和数据完整性、保密性和可用性以满足合规性要求的责任。这种合规性通常是强制要求的，而不是组织机构自愿采用的。

合规性要求包括：

PCI（支付卡行业）标准。

中央银行规定。

审计要求。

HIPPA。

其他。

合规性是软件安全开发生命周期的重要有机组成部分，而安全代码审查则是合规性的重要组成部分，因为许多规则要求坚持支持安全代码审查符合某些规定。

为执行正确的安全代码审查以满足合规性规则，必须使用得到批准的方法。《支付卡行业数据安全标准（PCI-DSS）》于2005年起成为处理信用卡支付业务的强制性合规性要求。对代码执行安全代码审查的要求在第一版中就开始要求。例如，其第6点要求“开发和维护安全的系统和应用程序”；而在2013年11月发布的《PCI-DSS 3.0》中，定义了一系列在软件开发过程中须使用的要求，以识别代码中的漏洞。

《PCI-DSS》标准包含有关应用安全开发的几个要点，但本指南将关注安全代码审查。所有有关安全代码审查的要点可以在第6点要求“开发和维护安全的系统和应用程序”中找到。

PCI委员会对原内容进行了扩充，以包含执行安全代码审查的内部资源。这增加了执行内部安全代码审查的比重，并提供了一个额外的因素，以确保这一过程被正确执行。

《支付应用数据安全标准（PA-DSS）》是一套类似于《PCI-DSS》的规则和要求。然而，《PA-DSS》尤其适用于开发支付应用程序的软件供应商和其他组织机构，开发应用程序用于存储、处理、传输持卡人数据以作为授权或结算，而结算包括了对这些支付应用的出售、分发或对第三方的许可。