applicativa?":
- http://blog.cesaregallotti.it/2014/11/i-va-sono-la-sicurezza-applicativa.html
Stefano, leggendo il mio commento "in molti riducono il tutto non solo ai
VA, ma alle sole vulnerabilità Top 10 segnalate da OWASP", commenta quanto
segue:
“la cosa ancora più grave è che OWASP si riferisce alle sole web applications, ma se un'applicazione non è web? Ci sarebbero i "CWE/SANS TOP 25 Most Dangerous Software Errors" (http://www.sans.org/top25-software-errors/), e potrebbe essere d’aiuto l’elenco su http://www.hpenterprisesecurity.com/vulncat/en/vulncat/index.html, ma in molti sembrano non conoscerli.
Con questo nessuno vuole disconoscere l’enorme importanza di OWASP. Diciamo solo che di OWASP se ne avvantaggiano i soli sviluppatori web, che forse sono anche la maggioranza, ma non tutti gli altri.
Inoltre
ci si dimentica che la Top 10 di OWASP elenca solo le prime dieci
vulnerabilità, ma non è che ce ne siano solo 10, in realtà ce ne sono molte di
più. Lo stesso sito di OWASP ne riporta anche altre che però sono meno
visibili e forse meno tenute in considerazione dagli sviluppatori".
Nessun commento:
Posta un commento