|
I professionisti di Kima sono member delle principali entità promotori di standard nell’ambito della Sicurezza delle Applicazioni (OWASP, ISACA, AIEA ecc.), partecipando alla loro definizione. Sul fronte Monetica/PCI, Kima è accreditata anche come Certificatore per la parte Applicativa dello Standard (PA-DSS, Payment Application Security Standard).
I Servizi denominati “Programmazione Sicura” includono:
• Analisi di Applicazioni Software
| In modalita` Black-Box - Per “modalita` Black-Box” si intende un tipo di analisi che prenda in considerazione il suo Target come scatola chiusa, e lo approccia a Zero-Knowledge, o comunque avendone un grado di conoscenza (concordato con il Cliente) che non comprenda informazioni strutturali dettagliate (documentazione, schemi, architettura, credenziali, codice ecc.). |
|
In modalita` Grey-Box - Per “modalita` Gray-Box” si intende un approccio analogo a quello “Black-Box”, a cui si aggiunge l’utilizzo di credenziali di accesso fornite dal Cliente. Nel caso Applicativo, cio` consente di percorrere l’intero albero funzionale dell’Applicazione in esame anche nel caso non sia stata possibile una compromissione precedente delle modalita` di autenticazione/autorizzazione.
|
| In modalità White-Box - L’Attivita` di Code Review effettua analisi del codice prodotto, eseguita manualmente (walk-through) e con l’ausilio di strumenti automatici, al fine di identificare vulnerabilità di sicurezza applicativa. |
• Formazione
| Lo stato della sicurezza applicativa – analisi di casi reali |
|
Temi di interesse per sviluppatori
- Concetti di programmazione sicura
- Tecniche specifiche per non incorrere in tipologie classiche di vulnerabilità applicative
|
Temi di interesse per attività di test/collaudo
- Tecniche di test/verifica per identificare vulnerabilità applicative
- Test su debolezze o configurazioni non opportune di componenti infrastrutturali (web server, application server, DBMS, componenti amministrative, ecc.) |
|
Considerazioni architetturali/tecnologiche (per architetti, ma anche sviluppatori e supporto sistemistico)
|
Il processo di sviluppo software e la sicurezza (gestori del SDLC aziendale; requirement manager; test/integration manager)
- come governare la sicurezza dal punto di vista del SDLC
- sicurezza nei requisiti
- threat modeling
- code review
- test |
|
Approcci strutturati al conseguimento e mantenimento di un livello di sicurezza accettabile
|
Contatta KIMA per saperne di più:
Questo indirizzo e-mail è protetto dallo spam bot. Abilita Javascript per vederlo.
|
