OWASP – Italy Day III
Prof. Giuseppe Visaggio
Dipartimento di Informatica
Bari 23 Feb. 2009
DAISY-NET
DRIVING ADVANCES OF ICT IN SOUTH ITALY – NET S. c. a r. l.
1
OWASP-Italy Day III
Motivazione della S.E. ad ospitare un OWASP Day
L’assicurazione di un alto livello di fiducia
nella Sicurezza e nella Qualità delle
Applicazioni Industriali è diventato un
requisito critico.
Tutte le azioni che le comunità scientifica
ed industriale e le organizzazioni
governative stanno mettendo in atto si
infrangono sulla inerzia degli sviluppatori
software ad acquisire la prospettiva della
sicurezza nei processi di sviluppo
2
OWASP-Italy Day III
I Maggiori Protagonisti
 Institute for Electrical abnd Electronic Engineers (IEEE): Standard
per lo sviluppo industriale del software
 American National Standards Institute ( ANSI): collabora
strettamente con l’IEEE
 National institute for Standards and Technology (NIST): fonte di
molti standard di interesse per la sicurezza; SP 800-14
 International Standards Organizations (ISO): ISO 6593, ISO
9127,ISO9000;
 International Electrotechnical Commission (IEC):ISO/IEC 27002,
ISO/IEC TR 13335; ISO/IEC 15408
 American Departement of Defense (DoD): standard militari per lo
sviluppo del software
 International Telecommunications Union ( ITU)
 British Standard Institute (BSI): è un punto di riferimento per i
molti standard per la sicurezza che pubblica ed aggiorna; BS 7799
da cui deriva ISO/IEC 27002
3
OWASP-Italy Day III
I Principali Standard Internazionali
 ISO
 Capability Maturity Model Integration ( CMMi)
 I Governativi





Gramm-Leach Bliley Act (GLBA)
Health Insurance Portability and Accoutability
Act(HIPAA)
Sarbanes-Oxely (SOX)
Federal Aviation Administration Integrated Capability
Maturity Model ( FAA-iCMM)
Data Protection Directive della U.E.
4
OWASP-Italy Day III
Lo Sviluppo Software e gli Standard
 Gli standard descrivono cosa si deve fare non
come si deve fare.
 Un leader mondiale nella guida di come si deve
fare è Open Web Application Security Project
(OWASP), che adotta il processo

Comprehensive Ligthtweight Application Security
Process (CLASP)
 US departement of Homeland Security and
Carneige-Mellon University’s Software
Engineering Institute (SEI) hanno prodotto ed
aggioranano il

SEI’s Team Software Process (TSP) che ha una
estensione per la sicurezza TSP-secure
5
OWASP-Italy Day III
Le funzioni da integrare nelle Applicazioni per la
Sicurezza
Meccanismi






per il criptaggio
per la firma digitale
di controllo degli accessi
di integrità dei dati
per lo scambio di autenticazione
per il controllo del routing
6
OWASP-Italy Day III
Gli accorgimenti nello sviluppo del software
Separazione dei requisiti per la sicurezza e
le misure per la sicurezza
Tracciabilità tra requisiti di sicurezza ed
azioni intraprese nello sviluppo per
soddisfarli
Correttezza e misurabilità delle misure
definite
Verifica della completezza e dei requisiti e
delle misure per la sicurezza
7
OWASP-Italy Day III
Sfida nella S.E.
Una Applicazione di Impresa destinata ad
un mercato internazionale deve essere
conforme a molti standard
L’Università di Bari in collaborazione con
L’Universitad de Castilla-la Mancha stanno
muovendo i primi passi nella definizione di
un Processo di Sviluppo che faccia
sviluppare Applicazioni di Impresa multistandard
8
DAISY-NET
DRIVING ADVANCES OF ICT IN SOUTH ITALY – NET S. c. a r. l.
9