2.2 代码审查和安全代码审查之间的区别是什么

能力成熟度模型（Capability Maturity Model,CMM）是一个被广泛认可的、用于对软件开发组织机构度量开发流程的模型。它的范围从“等级1”（有专门的、不稳定的和不可重复性的开发流程）到“等级5”（有组织良好的、记录完整的和不断改进的开发流程）。它假设一个公司的发展进程从等级1开始，并随着组织机构逐渐成熟和改进而变得更加专业。当企业达到等级2（有可重复的开发流程）或等级3（有良好定义的开发流程）时，引入执行代码审查的能力（请注意这还尚未处理安全代码审查）。

安全代码审查是标准代码审查实践的补充，其在审查流程中增加了安全事项，如公司的安全标准。很多这样的决议将在本书中解释，并尝试确保审查过程可以充分涵盖基本代码中的安全风险。例如，确保高风险代码在审查时更加深入、确保审查者在审查代码时具有正确的安全上下文信息、确保审查者具备必要的技能和安全编码知识，以更有效地评估代码。