Il NIST ha pubblicato la bozza di un documento dal titolo "White Paper: Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF)":
- https://csrc.nist.gov/publications/detail/white-paper/2019/06/11/mitigating-risk-of-software-vulnerabilities-with-ssdf/draft.
Temevo fosse il solito documento "fai valutazione del rischio e arrangiati (noi autori, in realtà, non sappiamo niente di tecnologia, ma possiamo scrivere tomi su tomi sulla valutazione del rischio e sui processi)". Invece ho trovato alcuni elementi interessanti, anche se non c'è tantissima tecnologia. Però la sintesi aiuta.
In bibliografia ho trovato il riferimento ad un documento dal titolo "Fundamental Practices for Secure Software Development: Essential Elements of a Secure Development Life Cycle Program":
- https://safecode.org/news/safecode-publishes-fundamental-practices-secure-software-development-essential-elements-secure-development-life-cycle-program/.
Un altro documento abbastanza breve (38 pagine), in cui mi pare ci siano consigli pratici che non trovo facilmente in giro.
E questo documento mi ha fornito il link al "SEI CERT Coding Standards":
- https://wiki.sei.cmu.edu/confluence/display/seccode/SEI+CERT+Coding+Standards.
Penso non ci siano scuse per chi scrive in C, C++, Java, Perl e Android.
Se posso segnalare dei difetti: i siti, alla fine, si concentrano soprattutto sulla parte di codifica e poco sulla parte funzionale e su quella architetturale.
Nessun commento:
Posta un commento