Skip to main content
IT

Software security: come realizziamo applicazioni sicure e resilienti, in 6 step

Diego LoroProject Manager3 Ottobre 2024Ottobre 29th, 20246 min di lettura
software security

Indice dei contenuti
  1. Cosa rende sicuro un sistema software
  2. Un percorso a 6 step per la software security

In Intesys, adottiamo un approccio security-first nei nostri progetti di sviluppo, ovvero integriamo la software security in tutto il percorso che va dalla definizione e dall’analisi dei requisiti alla progettazione dell’architettura, fino alla scrittura del codice, al testing, al rilascio e al monitoraggio costante. In questo modo, aiutiamo le aziende ad essere più competitive e resilienti nell’era del cyber risk.
In questo articolo approfondiamo la nostra visione e, soprattutto, esploriamo il percorso che affrontiamo insieme ai nostri clienti per realizzare sistemi software sicuri, capaci di reggere l’urto di molteplici minacce, interne e/o esterne all’organizzazione.

Cosa rende sicuro un sistema software

Le Linee Guida per lo Sviluppo di Software Sicuro (LGSSS) sono uno dei tool che ci permettono di costruire applicativi solidi e resilienti. Tuttavia, non bisogna pensare che il concetto di software sicuro riguardi unicamente la scrittura del codice, sia pur assistito da best practice di sicurezza.

LEGGI LE NOSTRE LINEE GUIDA

Nella nostra visione, infatti, un applicativo si può definire sicuro se è l’output finale di un insieme di processi, metodologie, tool, tecnologie e anche competenze che, all’interno di un unico progetto, operano in modo sinergico e orientato a 360 gradi verso la software security. In altri termini, la scrittura del codice non vive di vita propria, ed è una delle fasi finali di un processo che va indirizzato verso la sicurezza ad ogni livello e in ogni fase.

Un altro aspetto fondamentale, che premettiamo alla descrizione del processo, è la necessità di un impegno concreto (anche) da parte del cliente, ovvero di chi poi utilizzerà il codice. La sicurezza applicativa non può essere demandata unicamente a chi produce l’applicazione, nella fattispecie a Intesys, ma richiede un commitment importante anche da parte del destinatario del codice. Questo non riguarda soltanto fasi specifiche come la definizione dei security requirements, che ovviamente è a carico dell’azienda, ma anche la gestione di attività sistemistiche che influenzano la sicurezza dell’applicativo e che sono di competenza del cliente, come per esempio l’aggiornamento dei server, la configurazione corretta dei firewall e molto altro.

Leggi il nostro documento metodologico di Sviluppo Software Sicuro:

SCARICA IL DOCUMENTO

Un percorso a 6 step per la software security

Il percorso verso un applicativo sicuro inizia, come detto, ben prima della scrittura del codice. Si tratta infatti di un percorso che affrontiamo con i nostri clienti e che tocca tematiche culturali, organizzative, tecniche e anche commerciali, in un impegno reciproco volto a garantire la sicurezza del software su cui si fonda il business.

1. Condivisione della cultura della sicurezza

Nella fase iniziale, sensibilizziamo i nostri interlocutori sull’importanza della software security e sulla necessità di un impegno condiviso verso la sicurezza del software. Spieghiamo le rispettive responsabilità, spesso evidenziando la necessità di introdurre delle figure specializzate, come i CISO o team dedicati, con compiti e responsabilità specifiche in ambito sicurezza.

2. Definizione dei security requirements

L’azienda, con il supporto di Intesys, definisce a questo punto i requisiti di sicurezza, tenendo conto del contesto operativo, delle normative cui è soggetta e della tipologia di applicazione che intende adottare. Questa fase presuppone una valutazione delle minacce esistenti e la definizione, insieme a Intesys, di quale sia la soglia di rischio accettabile. Omettendo questa fase, diventa pressoché impossibile comprendere quali misure di sicurezza vadano applicate nella fase successiva.

3. Risk Assessment con metodologia STRIDE

Definiti i requisiti, eseguiamo in Intesys un risk assessment utilizzando la metodologia STRIDE per identificare e classificare le potenziali minacce alla sicurezza della (futura) applicazione. Utilizzando una matrice impatto-probabilità, siamo in grado di quantificare il rischio relativo a ciascuna minaccia.

Consulta il documento di Assessment per Sviluppo Software Sicuro:

SCARICA IL DOCUMENTO

4. Analisi tecnica per la software security

Al risk assessment segue poi una fase di analisi tecnica il cui obiettivo è progettare una soluzione che rispetti i requisiti di sicurezza e tenga fede ai principi di security by design e security by default secondo le Linee Guida per lo Sviluppo di Codice Sicuro (LGSSS). Ogni decisione tecnica viene valutata attentamente per assicurare che la sicurezza sia parte integrante della soluzione finale e che tutte le misure necessarie vengano effettivamente incluse nel progetto.

5. Secure Software Lifecycle

A questo punto si entra nella fase di sviluppo software sicuro. In Intesys, il nostro obiettivo è integrare la sicurezza in tutto il ciclo di vita del software, e per raggiungerlo possiamo contare su un ecosistema sinergico di competenze, processi e strumenti.

Oltre a disporre di tutte le professionalità necessarie, con ruoli e responsabilità ben definite, abbiamo sviluppato dei processi ad hoc per standardizzare il più possibile i progetti software (gestione del progetto, sviluppo della documentazione, gestione del ciclo di vita…) e ci basiamo su metodologie e best practice riconosciute, tra cui l’impiego di librerie sicure e di pattern di progettazione consolidati. In questa fase applichiamo al codice le nostre Linee Guida per lo Sviluppo del Software Sicuro, adottiamo misure sistemistiche volte a rafforzare la sicurezza dell’infrastruttura e integriamo nelle pipeline di sviluppo dei tool di sicurezza come quelli di analisi statica del codice e quelli utili a identificare vulnerabilità nelle librerie di terze parti.

6. Controllo continuo della sicurezza

Infine, non bisogna dimenticare che la sicurezza è un processo in evoluzione, che non si conclude con il rilascio dell’applicativo. In Intesys ci impegniamo a fornire ai nostri clienti report costanti e dettagliati, ma soprattutto ad effettuare verifiche regolari delle vulnerabilità e a predisporre soluzioni tempestive, applicando patch e implementando ogni misura necessaria per garantire la protezione continua del software, e di conseguenza del business dei nostri clienti.
Logo Intesys bianco
SOFTWARE SICURO

Scopri come sviluppiamo
soluzioni a prova di cyberischio

SCOPRI DI PIÙ
3.8/5.0 Article rating
4 Reviews
Cosa ne pensi dell'articolo?
  1. Amazing
  2. Good
  3. Bad
  4. Meh
  5. Pff

Tags:

Diego Loro

Diego Loro

Project Manager

Entrato in Intesys nel 2021, mi occupo di Project Management e Service Management. Prima di Intesys, dopo la laurea in ingegneria ho lavorato per 15 anni nel settore IT come Senior Java Developer, Software Architect e Project Manager di progettualità ad alto contenuto tecnologico.

Articoli correlati

api linting IT Cos’è l’API Linting e come lo usiamo per migliorare qualità e sicurezza

Cos’è l’API Linting e come lo usiamo per migliorare qualità e sicurezza

Denis Signoretto
Denis Signoretto14 Novembre 2024
sviluppo sicuro del software IT Risk assessment per lo sviluppo sicuro del software: come lo facciamo, in dettaglio

Risk assessment per lo sviluppo sicuro del software: come lo facciamo, in dettaglio

Ilario Gavioli
Ilario Gavioli24 Ottobre 2024
apiops IT Come concretizziamo l’approccio API First attraverso le linee guida e APIOps

Come concretizziamo l’approccio API First attraverso le linee guida e APIOps

Denis Signoretto
Denis Signoretto10 Ottobre 2024
NEWSLETTER