mercoledì 26 novembre 2014

VA, sicurezza e OWASP

Stefano Ramacciotti commenta il mio articolo "I VA sono la sicurezza
applicativa?":
- http://blog.cesaregallotti.it/2014/11/i-va-sono-la-sicurezza-applicativa.html

Stefano, leggendo il mio commento "in molti riducono il tutto non solo ai
VA, ma alle sole vulnerabilità Top 10 segnalate da OWASP", commenta quanto
segue:

 “la cosa ancora più grave è che OWASP si riferisce alle sole web applications, ma se un'applicazione non è web? Ci sarebbero i "CWE/SANS TOP 25 Most Dangerous Software Errors" (http://www.sans.org/top25-software-errors/), e potrebbe essere d’aiuto l’elenco su http://www.hpenterprisesecurity.com/vulncat/en/vulncat/index.html, ma in molti sembrano non conoscerli.

Con questo nessuno vuole disconoscere l’enorme importanza di OWASP. Diciamo solo che di OWASP se ne avvantaggiano i soli sviluppatori web, che forse sono anche la maggioranza, ma non tutti gli altri.

Inoltre ci si dimentica che la Top 10 di OWASP elenca solo le prime dieci vulnerabilità, ma non è che ce ne siano solo 10, in realtà ce ne sono molte di più. Lo stesso sito di OWASP ne riporta anche altre che però sono meno visibili e forse meno tenute in considerazione dagli sviluppatori".

Nessun commento:

Posta un commento