Lo sviluppo di un software sicuro
La sicurezza informatica non è costituita solo da attività di risoluzione di problemi. Lo sviluppo di software sicuro garantisce un blocco preventivo delle principali falle di sicurezza, riducendo i costi successivi e la necessità di interventi a posteriori.
Indispensabile per le software house, è necessaria in generale per le aziende che sviluppano internamente le proprie soluzioni.
Come funziona lo sviluppo di un software sicuro
Per poter procedere alla programmazione di software sicuro è indispensabile conoscere le vulnerabilità che vengono introdotte nelle diverse fasi dello sviluppo software oltre a quelle che si possono manifestare nel deployment.
Safecore supporta il cliente nella definizione dei requisiti di sicurezza dell’applicazione, nell’analisi della superficie di attacco e nel threat modeling durante il design, nell’esecuzione di Static Analysis in fase di implementazione (SAST), proseguendo con i security test dinamici (DAST) e con l’indicazione di misure di hardening prima del passaggio in produzione.
Pertanto S.E.C.U.R.E. , ha l’obiettivo di far crescere la responsabilità e la resilienza interne nei confronti delle minacce informatiche, con effetto duraturo, trasformando la cultura della sicurezza informatica interna all’azienda e verso l’intero ecosistema costituito da clienti e fornitori.
Analisi per la progettazione di un software sicuro
I nostri specialisti intervengono per definire quali metodi e strumenti introdurre in ogni fase del ciclo di sviluppo: la gradualità e l’accettazione delle innovazioni da parte degli sviluppatori sono elementi chiave per il risultato finale.
L’evoluzione degli ambienti e delle tecniche di sviluppo porta a operare rilasci sempre più frequenti con metodologie innovative (es. Agile) e automazione spinta (tecnologie DevOps); contesti in rapida evoluzione, in cui è fondamentale introdurre misure di sicurezza sempre aggiornate.
Inserendo opportuni controlli e verifiche, definiamoli “gateway” , nei diversi passaggi del ciclo di sviluppo, deployment e operations, è possibile raggiungere un livello di eccellenza che le normali filiere di revisione interna spesso non sono in grado di garantire.
Safecore offre interventi e consulenza tecnologica per aiutare i propri clienti nello sviluppo di software sicuri (Secure Software Development Lifecycle: SSDL; DevSecOps). Questo avviene sia attraverso consulenze per il miglioramento delle procedure interne, sia attraverso verifiche tecnologiche del prodotto.
Il nostro servizio di Code Review
Il processo Code Review ha come scopo l’identificazione di vulnerabilità all’interno del codice sorgente. Esso rappresenta una delle fasi più importanti per lo sviluppo di applicazioni sicure, permettendo di identificare eventuali problematiche di sicurezza prima che il software vada in produzione riducendo sensibilmente i costi.
L’attività di Code Review ha un alto grado di complessità, ragion per cui è fondamentale che l’auditor abbia solide basi sui concetti di programmazione sicura, sulle maggiori tipologie di attacco e che abbia una buona confidenza con la lettura e analisi del codice.
Il servizio di Code Review offerto da Safecore viene effettuato da un team di persone con anni di esperienza sia nella programmazione che nell’analisi dei sorgenti di grandi applicazioni. Safecore è il fornitore ideale per le Vostre necessità di Code Review e opera con serietà secondo standard internazionalmente riconosciuti ai più alti livelli di qualità grazie al costante impegno nell’ambito della ricerca. Contattateci per informazioni e richiedete un preventivo personalizzato.
Descrizione del servizio
Il processo si compone fondamentalmente di due fasi:
Da uno o più tool di analisi statica. Tali tool hanno lo scopo di simulare l’esecuzione del codice e di identificarne le eventuali vulnerabilità. Questo approccio ha dei grossi vantaggi rispetto al solo testing dell’applicazione, perchè si ha piena consapevolezza del comportamento dell’applicazione.
Si analizza manualmente il codice concentrandosi sulle parti più delicate dell’applicazione. L’analisi viene effettuata da un team eterogeneo di persone altamente specializzate, con il fine di identificare tutte le varie vulnerabilità che non sono immediatamente identificabili. Questa seconda fase è necessaria poichè i tool automatici non sono in grado di identificare correttamente tutte le vulnerabilità a causa dell’intrinseca complessità di tale compito.
Output
Alla fine dell’attività viene presentato al cliente un Report composto di due sezioni:
- Executive Summary: riassume le problematiche riscontrate nel codice sorgente dell’applicazione ed eventuali errori di implementazione. Inoltre fornisce una valutazione del livello generale di sicurezza.
- Technical details: indica per ogni problematica individuata la sezione dei sorgenti in oggetto, una spiegazione dettagliata del problema individuato e la sua soluzione (Remediation).
