Segnalo questo articolo su ICT Security Magazine dal titolo "Sviluppo sicuro del codice… 4 semplici domande a 3 strati di una cipolla":
- https://www.ictsecuritymagazine.com/articoli/sviluppo-sicuro-del-codice-4-semplici-domande-a-3-strati-di-una-cipolla/.
Mi pare che questo articolo faccia chiarezza sulle 3 analisi di sicurezza del codice:
- scansione statica del codice, da fare con strumenti automatici in ambiente di sviluppo e test;
- scansione dinamica del codice, da fare con strumenti parzialmente automatici in ambiente di test;
- penetration test, da fare con vari strumenti in ambiente di produzione.
Mi piacciono le argomentazioni proposte, anche se mi rimangono alcune domande:
- la scansione dinamica va fatta coinvolgendo specialisti o può essere fatta dagli stessi sviluppatori (osservando che i PT rientrano nel primo caso)?
- quali strumenti sono oggi ritenuti più interessanti per le scansioni statiche e dinamiche?
Nessun commento:
Posta un commento