Lo Sviluppo di Codice Sicuro è un processo che può essere utilizzato per prevenire l’insorgere di vulnerabilità applicative prima che il software sia rilasciato in produzione.
Un’applicazione insicura può permettere agli utenti malintenzionati di accedere ai propri sistemi e ai dati dei clienti.
Questo può essere la causa:
- Interruzione dei servizi offerti
- Danno d’immagine per la propria realtà
- Fuga di informazioni sensibili
Durante la fase di sviluppo, gli sviluppatori possono essere seguiti da un team di esperti di sicurezza che verificano l’utilizzo delle migliori pratiche di sicurezza del codice. Oltre all’attività di consulenza durante le fasi di progettazione e sviluppo, è possibile instaurare un processo analisi statica del codice sorgente e di analisi dinamica, attraverso attività come il penetration test, al fine di identificare potenziali vulnerabilità.
Supporto durante tutte le fasi del ciclo di vita del codice
La sicurezza durante lo sviluppo deve essere considerato un requisito non funzionale implicito. Esso deve considerato in tutte le fasi del ciclo di vita e deve essere considerato una funzionalità imprescindibile.
SecSI offre ai propri clienti esperti in grado di adoperare e valutare i più moderni framework di sviluppo sicuro del codice, come quelli del NIST e di OWASP.
Analisi Statica
Gli strumenti di analisi statica del codice, rilevano un numero elevato di falsi positivi, per cui l’attività consiste in un’attenta analisi manuale del codice al fine di ridurre il numero di falsi positivi, permettendo così al team di sviluppo di correggere le vulnerabilità dell’applicazione modificando il codice sorgente prima che venga rilasciato in produzione.
Analisi Dinamica
L’attività di analisi dinamica è un processo di valutazione di un sistema software o di un suo componente basato sull’osservazione del suo comportamento in esecuzione. Di solito solo queste tecniche si identificano come testing, una delle più famose è il penetration test.