Voxxed Days: programming ways to face new attacks

Voxxed Days Ticino - G.Paternò

Voxxed Days Ticino - G.Paternò

Security in Continuous Integration

La continuous integration necessaria alle applicazioni, o ai siti web, o servizi, espone a rischi di varia natura se non si integrano strumenti di code analysis. Per questo nei normali test funzionali o di qualità etc vanno integrati anche i test di security secondo questo ideale processo:

  1. Build
  2. Funcional tests
  3. Static security tests
  4. Create template
  5. Deploy template
  6. Automated VA

Al Voxxed Days in Ticino erano presenti vari talk su diversi tools di continuous integration e deplyment. Per quel che riguardai la revisione del codice, Giuseppe ci ha consigliato di consultare la lista dei Sourced Code Analyzer del NIST oppure la lista di Wikipedia. Lui suggerisce di provare le procedure con Firing Range di Google e di affiancare tools di identity management come SECUREPASS o servizi di audit remota come quello offerto da SecureAudit del GARL.

Conclusioni

Al Voxxed days gli speaker avevano 50 minuti. Verso la fine, la presentazione andava un po lunga, quindi il finale è stato necessariamente meno descrittivo. Gli argomenti trattati erano comunque esaurienti e la trattazione è stata un utilissimo compendio delle migliori pratiche di sicurezza da adottare.

Chi come me lavora nei sistemi o nella sicurezza, ha ritrovato nel talk molti principi già acquisiti. Ma fornire spunti di riflessione ai DevOps è una cosa fondamentale in cui Giuseppe credo sia riuscito perfettamente.

Quindi un ringraziamento a Giuseppe Paternò per la partecipazione al Voxxed Days e vi invito a contattarlo se volete imparare, acquisire e perché no, acquistare degli strumenti fondamentali di sicurezza.

SR

Share Us

PinIt

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.