Uno standard per valutare le competenze in sicurezza degli sviluppatori

Software
0 0 Non ci sono commenti

Il Sans Institute propone di creare una norma per testare le attitudini degli sviluppatori alla programmazione di applicazioni sicure.

Si preparano nuove sfide per gli sviluppatori. Il Sans (Sysadmin, Audit, Network, Security) Institute, un’organizzazione anglosassone che raggruppa circa 165mila professionisti della sicurezza dei sistemi informativi, sta lavorando sulla messa a punto di test standard destinati a verificare le attitudini degli sviluppatori nella programmazione di applicazioni sicure. Obiettivo dell’iniziativa è di permettere alle imprese di assicurarsi che i loro programmatori (interni o appartenenti a outsourcer) conoscano le tecniche di base che permettono di rendere sicuri i propri sviluppi.

Il Sans, che già propone test per esperti di Java o C, ha pubblicato un documento in Pdf intitolato “Essential Skills for Secure Programmers Using Java/JavaEe”. Condividendolo, l’organismo pensa di ricavarne uno standard. Oltre quaranta imprese, amministrazioni e società specializzate in sicurezza hanno partecipato all’elaborazione della norma, che non è ancora definitiva, visto che i professionisti del settore hanno sessanta giorni per far pervenire eventuali commenti via Internet.

La lista delle competenze è ampia e comprende tecniche di validazione dei dati in ingresso e del codice in uscita, gestione dei sistemi di autenticazione e di controllo degli accessi, conoscenza delle tecniche di attacco e così via, il tutto riportato al contesto Java (livello di sicurezza delle classi, privilegi associati al codice, limiti dei tipi numerici Java e così via). Il Sans Institute ha indicato che il documento è il primo di una lunga serie. Infatti, già si sta lavorando per definire, alla stessa maniera, le competenze richieste per i linguaggi C, C++, i vari .Net (Asp Net, C# e così via), Php e Perl.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore