analisi e gestione della sicurezza di una complessa applicazione ...
analisi e gestione della sicurezza di una complessa applicazione ...
analisi e gestione della sicurezza di una complessa applicazione ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
CAPITOLO VII - Test per valutare la <strong>sicurezza</strong> <strong>di</strong> Talete<br />
7.1 Gli strumenti per la <strong>sicurezza</strong> delle web applications<br />
La parola au<strong>di</strong>ting identifica il processo attraverso il quale si verifica che certi requisiti e<br />
standard all’interno del software siano stati raggiunti, identificando eventualmente le aree che<br />
necessitano <strong>di</strong> mo<strong>di</strong>fiche e miglioramenti.<br />
Il tema dell’in<strong>di</strong>viduazione <strong>di</strong> falle <strong>di</strong> <strong>sicurezza</strong> è attuale oltre che estremamente interessante<br />
per i risvolti economici <strong>di</strong> tale attività: determinare e correggere gli errori software prima che<br />
l’<strong>applicazione</strong> sia effettivamente in produzione, permette <strong>di</strong> evitare ulteriori costi, ritar<strong>di</strong> sullo<br />
sviluppo e <strong>di</strong>sagi per gli utenti. Il problema <strong>della</strong> ricerca <strong>di</strong> vulnerabilità nelle applicazioni web<br />
trova prevalentemente soluzione in ambito commerciale, anche se esistono tool open source e<br />
progetti <strong>di</strong> ricerca in ambito universitario.<br />
È importare sottolineare come questi strumenti software sono solamente un tentativo <strong>di</strong><br />
soluzione <strong>di</strong> un problema complesso e con forte mutabilità: molte <strong>di</strong> queste applicazioni<br />
lavorano in maniera automatica cercando casi noti <strong>di</strong> vulnerabilità, mettendo quin<strong>di</strong> in campo<br />
<strong>una</strong> vasta base <strong>di</strong> conoscenza piuttosto che un vero e proprio riconoscimento automatico.<br />
Oltre a <strong>di</strong>stinguere gli strumenti tra online e offline, gli esperti utilizzano spesso <strong>una</strong><br />
categorizzazione basata sull’interazione umana necessaria allo svolgimento dell’attività: si<br />
parla quin<strong>di</strong> <strong>di</strong> strumenti automatici, semi-automatici o manuali. Come in tutte le attività che<br />
richiedono <strong>una</strong> forte componente d’intuito, intelligenza ed astuzia, l’uomo supera<br />
brillantemente la macchina: l’au<strong>di</strong>ting svolto da personale competente è un’attività<br />
insostituibile se si vuole garantire la <strong>sicurezza</strong> dei propri applicativi.<br />
Per la scelta degli strumenti automatici da adoperare è necessario, in primo luogo, identificare<br />
le tecnologie utilizzate e scegliere i tool più adatti al contesto applicativo; spesso però ci sono<br />
anche aspetti che si allontanano dalle considerazioni puramente tecniche come la <strong>di</strong>sponibilità<br />
o meno del co<strong>di</strong>ce sorgente, l’assoluta necessità <strong>di</strong> testare il software sull’ambiente finale <strong>di</strong><br />
deploy, <strong>di</strong> effettuare la revisione in <strong>di</strong>verse fasi del processo produttivo dell’applicativo stesse e<br />
cosi via. Parlando <strong>di</strong> strumenti per l’<strong>analisi</strong> e la scansione <strong>di</strong> web applications, sono state<br />
analizzate <strong>di</strong>verse metodologie usate dagli strumenti software.<br />
152