Da un articolo dell'ISACA Journal, volume 4 del 2015, dal titolo "Three Ways to Simplify Auditing Software Security Requirements and Design", segnalo alcuni link.
Il primo è uno studio di IBM dell'ottobre 2008 dal titolo " Minimizing code defects to improve software quality and lower development costs". Questo articolo riporta una delle dichiarazioni più famose della sicurezza ("identificare un difetto del software dopo la consegna costa 30 volte in più che farlo in fase di progettazione") e quindi può essere usata come autorevole fonte. Poi non si capisce bene come sia stato calcolato questo valore, ma se lo ha inventato IBM è sicuramente più veritiero che se lo avessi inventato io:
- ftp://ftp.software.ibm.com/software/rational/info/do-more/RAW14109USEN.pdf.
L'articolo poi tratta di "analisi delle minacce" ("threat modeling") a cui il software potrebbe essere sottoposto. Confesso che non ho mai visto usare questo strumento, però mi piace segnalare quello proposto da Microsoft, visto che è gratuito (l'articolo ne segnala altri, ma non capisco come possano essere utilizzati). Mi piacerebbe ricevere contributi (da chi li ha usati realmente, la pura teoria non mi interessa):
- http://www.microsoft.com/en-ca/download/details.aspx?id=42518.
Nessun commento:
Posta un commento