L'OWASP ha pubblicato la OWASP Top 10 Proactive Controls 2016:
- https://www.owasp.org/index.php/OWASP_Proactive_Controls.
Questa notizia mi è stata riferita dalla Newsletter d'information de HSC <newsletter@hsc-news.com>.
L'articolo della newsletter, richiama un punto di cui ho già parlato anche io in passato: per la sicurezza delle applicazioni web, purtroppo il riferimento è la OWASP Top 10, ossia la lista delle 10 vulnerabilità più diffuse delle applicazioni web, che però rappresentano l'inverso del problema:
- https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project.
Ringrazio quindi OWASP per aver presentato la nuova lista.
L'articolo della newsletter, richiama anche la lista di buone pratiche di Joel Spolsky:
- http://www.joelonsoftware.com/articles/fog0000000043.html.
L'ho letta con dolore, pensando a quante volte non ho visto applicati i 12 punti:
- usare un sistema di controllo dei file;
- fare in modo che le build siano prodotte in un solo passaggio;
- fare build almeno ogni giorno;
- usare un sistema di ticketing per tracciare i bug;
- correggere i bug prima di scrivere nuovo codice;
- mantenere un piano di lavoro;
- scrivere le specifiche;
- assicurare ai programmatori un ambiente di lavoro tranquillo;
- fornire ai programmatori gli strumenti migliori;
- avere dei tester;
- in fase di selezione del personale, far scrivere del codice ai programmatori;
- chiedere all'"uomo della strada" di fare dei test di usabilità.
Per ciascun punto è fornita una spiegazione molto utile.
La lista è del 2000 e forse qualche voce potrebbe essere aggiornata. Ciò non toglie che dovrebbe essere studiata e applicata con attenzione.
Nessun commento:
Posta un commento