hit counter
Sei sicuro della sicurezza del TUO codice ? - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Sei sicuro della sicurezza del TUO codice ?

Sei sicuro della sicurezza del TUO codice ?

  • Comments 4
  • Likes

Delle "17 perle" di cui vi ho appena detto, quella che ha suscitato maggiori domande di approfondimento nei 3 eventi in cui ho avuto modo di parlarne è stata appunto la 15a:

 

Sei sicuro della sicurezza del TUO codice ?

 

Il concetto di fondo che ho espresso riguardo a questo punto è esattamente quanto avevo già indicato al termine del mio post precedente, che vi riporto: con l'irrobustimento della piattaforma di base, chi attacca tenderà nel tempo a spostare la sua attenzione verso gli strati più alti a livello applicativo, sul codice custom, quello scritto dalle terzi parti o dal cliente stesso, dove sarà più facile ritrovare bug di sicurezza da sfruttare per un attacco, più mirato ma non meno pericoloso. Questo è un dato di fatto ormai ribadito da diverse analisi di tendenze sulle evoluzioni delle minacce di sicurezza, e va preso sul serio, possibilmente giocando d'anticipo: come ? Quando dico "TUO codice", penso in realtà in senso ampio a TUTTA la software library aziendale: il software commerciale, il software open source, il software custom realizzato in proprio. Di tutto il software acquisito dall'esterno è opportuno verificare se i relativi produttori adottano un processo strutturato di sviluppo di codice sicuro, che possa garantire la sua revisione e la produzione costante di aggiornamenti di sicurezza. Su questo aspetto non resisto alla tentazione di provocarvi, anche alla luce delle errate interpretazioni che ho visto nascere nei commenti al post sui primi sei mesi di Vista, sia sul mio blog, che su diversi altri: se Microsoft può vantare l'adozione e il pieno impegno all'SDL, quanti altri vendor possono dire altrettanto ? E per la comunità open source: quanto vale la teoria del "many eyeballs lead to secure code" ? Su questa seconda domanda vi raccomando la lettura dell'intervista a Michael Howard su "How Software is Built".

Per il codice fatto in casa, la raccomandazione è semplice: rinnovare quanto prima il proprio processo di sviluppo di codice (augurandomi che ci sia un processo ...) aggiungendo tutte le verifiche e i requisiti richiesti da un processo di secure code development. Non sapete da dove iniziare ? Al di là di tanti falsi trionfalismi vi assicuro che il Security Development Lifecycle viene davvero riconosciuto (anche da chi non ama Microsoft... ) come uno dei migliori approcci attuali a questa necessità, e può quindi essere usato come linea guida per rinnovare il proprio processo di sviluppo.

Vi raccomando una serie di risorse importanti a cui attingere per muovere i primi passi in tal senso:

Comments
  • Post originale: Le "17 perle" della Security Governance dove trovate le slide aggiornate in allegato.

  • Il mio post di ieri sulle problematiche di sicurezza di Apple e quello letto oggi su Punto Informatico

  • Lungi da me scendere nell'arena delle guerre di religione (mi conoscete ormai, no?), ma un paio di articoletti

  • Ho avuto il piacere di essere ospitato ieri su Punto Informatico (che ringrazio per la disponibilità

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment