Da tempo volevo approfondire il tema dello sviluppo sicuro. Ho cercato un libro e ho trovato questo:
- Mano Paul. "Official (ISC)2 Guide to the CSSLP". USA: CRC Press, 2011.
È il libro per la preparazione all'esame CSSLP del (ISC)2 e quindi soffre di qualche limite, il primo dei quali è che un manuale per preparare ad un esame non è la stessa cosa di un libro scritto per altri scopi.
Il libro ha altri limiti, tra cui: errori di inglese (li ho trovati io!) e ripetitività di alcuni argomenti in diversi capitoli (e non sempre sono presentati in modo allineato). Drammaticamente ci sono anche errori tecnici (mi chiedo cosa abbia letto della ISO/IEC 27006, visto che la considera una norma per la "certificazione" del software e non per gli organismi che certificano secondo ISO 9001, 14001 e altri standard per i sistemi di gestione).
Però, in questi tempi in cui parlo con gli sviluppatori di "politiche di sviluppo sicuro" o, più banalmente, di "accorgimenti di sviluppo sicuro", vedo solo: a) sguardo di mucca quando passa il treno; b) i risultati di un vulnerability assessment; c) documenti in cui la parola "sicurezza" è nominata per sbaglio una o due volte senza ulteriori dettagli.
Allora è benvenuto un libro, per quanto mal fatto, che parla di sviluppo sicuro o, in inglese, di secure software development lifecycle (SSDLC).
In questo libro si parte dal "solito" risk management, per poi trattare del ciclo di vita: requisiti, progettazione, codifica, testing (tecnico), accettazione, messa in produzione, conduzione, manutenzione e eliminazione. Ci sono anche capitoli sulla catena di fornitura e sull'acquisizione di software da parti esterne.
Ovviamente, chiunque voglia segnalare altri testi è il benvenuto.
Nessun commento:
Posta un commento