L'SDL e l'importanza della sicurezza applicativa

re: L'SDL e l'importanza della sicurezza applicativa

Mario Fontana — Sat, 12 May 2007 00:41:27 GMT

Ciao Feliciano!!!!!

Sono proprio contento di leggere questo tuo post sulla sicurezza applicativa :-) soprattutto perchè il tuo super-blog è letto da molti NON DEV...

Io penso alla sicurezza nei sistemi IT come all'insieme della sicurezza delle reti, la sicurezza dei sistemi e la sicurezza delle applicazioni (un po' come i 3 porcellini:-)).Questi tre ambiti ("ambiti", meglio di "porcellini"...soprattutto visto che fine fanno 2 su 3!!),come si può facilmente intuire, sono fortemente legati tra loro ed una vulnerabilità in uno qualsiasi di questi livelli può compromettere l'intero sistema.Poi, come è normale, ogni area ha le proprie particolarità,i propri "internals" ma chi amministra un sistema dovrebbe avere una precisa idea di quello che avviene nelle applicazioni in ambito sicurezza...soprattutto se queste sono custom!

La sicurezza applicativa delle tre è da sempre la più sottovalutata.All'inizio proprio dai programmatori e dai progettisti software perchè sicurezza era sinonimo di attività da sistemisti...poi negli ultimi anni il coninvolgimento sull'argomento ha portato una netta sensibilizzazione da parte di molti specialisti nell'area sviluppo...PERO',a mio avviso,manca ancora quello che è il trait-dunion tra i due mondi di sicurezza e la sfera applicativa: un policy enforcement infrastrutturale per le applicazioni legato ad un processo di change management.

Questo policy enforcement in realtà è solo la punta dell'iceberg di un processo molto più ampio e complesso che prevede un insieme di policy di sicurezza che andranno a creare una security baseline per tutte le applicazioni custom che verranno deployate in ambiente di produzione...e, last but not least... dei meccanismi automatici di verifica di compliance a queste policy.

Queste attività però non possono essere fatte solo dagli esperti di sicurezza delle reti o dei sistemi...ma devono essere eseguite a braccetto (si fa per dire...mi raccomando) con i solutions architect ed esperti di sicurezza applicativa per avere la famosa visione olistica della sicurezza :-)

Tutto questo panegirico per dirti che sono molto contento che all'interno del tuo super blog ti occuperai anche di sicurezza applicativa...per avvicinare alle problematiche di gestione della sicurezza nelle applicazioni anche chi non si occupa di sviluppo.

Ma tu ti ricordi che una volta (l'unica) abbiamo partecipato come speaker allo stesso evento:-)???

Era il lontano 16 Marzo 2004 (Cisco Conference Tour 2004)!

io me lo ricordo bene perchè era la prima volta che parlavo ad un'audience non DEV...e sono pure sopravvissuto :-):-) di cosa parlavo??... ma di sicurezza applicativa :-):-)

Ciao

--Mario

PS:complimenti per la menzione da parte del GURU:-)

re: L'SDL e l'importanza della sicurezza applicativa

Daniele Muscetta — Sat, 12 May 2007 09:06:26 GMT

La sicurezza applicativa e' l'unica sicurezza *vera*.

Il resto sono misure per mitigare codice che non si vuole e puo' fissare.

Divagando un po', se vuoi farti due risate, guarda le implicazioni che un software scritto male (non validava l'input - che e' IL problema di sicurezza applicativa che produce intere FAMIGLIE di vulnerabilita') mi ha causato tempo fa: http://www.muscetta.com/2007/05/05/ancient-and-modern-aka-digital-printouts-and-writing-secure-systems/

re: L'SDL e l'importanza della sicurezza applicativa

Feliciano Intini — Sun, 13 May 2007 00:55:22 GMT

Carissimo Mario, grazie dei complimenti ... a quando il piacere di leggere il TUO super-blog ? Da un super-Mario non si può che aspettarsi un super-blog ... Ho tanto bisogno di avere qualcuno da referenziare sui temi della sicurezza dei web services ...

Non tardare !

MOICE: la sicurezza di Open XML offre una protezione retroattiva per Office pre-2007

Security Blog di Feliciano Intini — Tue, 15 May 2007 03:23:57 GMT

Un post da non perdere è quello in cui David LeBlanc spiega il tool di prossima pubblicazione MOICE, "Microsoft Office Isolated Conversion Environment". Lasciandovi il piacere di leggerlo per intero, richiamo in questa sede alcuni spunti interessanti

URCA! Sono nato davvero !!!

Mario Fontana-Architetture Applicative e Sicurezza — Tue, 15 May 2007 13:27:20 GMT

E alla fine... dopo tanto titubare, tentennare e tergiversare ho deciso anch’io di aprire una finestra

I primi 6 mesi di Windows Vista: quando i numeri parlano da soli

Security Blog di Feliciano Intini — Thu, 21 Jun 2007 20:34:39 GMT

Se avete letto il mio precedente post, quando il mio collega Jeff Jones ha pubblicato il report simile sui primi 90 giorni di Windows Vista, sapete già come la penso sulle statistiche di confronto delle vulnerabilità tra i diversi sistemi operativi. Ma

Sei sicuro della sicurezza del TUO codice ?

Security Blog di Feliciano Intini — Thu, 28 Jun 2007 13:36:19 GMT

Delle "17 perle" di cui vi ho appena detto, quella che ha suscitato maggiori domande di approfondimento nei 3 eventi in cui ho avuto modo di parlarne è stata appunto la 15a: Sei sicuro della sicurezza del TUO codice ? Il concetto di fondo che ho espresso

Risorse sulle 17 perle della Security Governance

Security Blog di Feliciano Intini — Wed, 11 Jul 2007 15:34:15 GMT

Post originale: Le "17 perle" della Security Governance dove trovate le slide aggiornate in allegato.