mercoledì 12 giugno 2019

NIST Secure Software Development Framework (SSDF)

Il NIST ha pubblicato la bozza di un documento dal titolo "White Paper:
Mitigating the Risk of Software Vulnerabilities by Adopting a Secure
Software Development Framework (SSDF)":
-
https://csrc.nist.gov/publications/detail/white-paper/2019/06/11/mitigating-
risk-of-software-vulnerabilities-with-ssdf/draft
.

Temevo fosse il solito documento "fai valutazione del rischio e arrangiati
(noi autori, in realtà, non sappiamo niente di tecnologia, ma possiamo
scrivere tomi su tomi sulla valutazione del rischio e sui processi)". Invece
ho trovato alcuni elementi interessanti, anche se non c'è tantissima
tecnologia. Però la sintesi aiuta.

In bibliografia ho trovato il riferimento ad un documento dal titolo
"Fundamental Practices for Secure Software Development: Essential Elements
of a Secure Development Life Cycle Program":
-
https://safecode.org/news/safecode-publishes-fundamental-practices-secure-so
ftware-development-essential-elements-secure-development-life-cycle-program/

.

Un altro documento abbastanza breve (38 pagine), in cui mi pare ci siano
consigli pratici che non trovo facilmente in giro.

E questo documento mi ha fornito il link al "SEI CERT Coding Standards":
-
https://wiki.sei.cmu.edu/confluence/display/seccode/SEI+CERT+Coding+Standard
s.

Penso non ci siano scuse per chi scrive in C, C++, Java, Perl e Android.

Se posso segnalare dei difetti: i siti, alla fine, si concentrano
soprattutto sulla parte di codifica e poco sulla parte funzionale e su
quella architetturale.

Nessun commento:

Posta un commento