La sicurezza delle applicazioni
|
|
- Fabio Berardi
- 8 anni fa
- Visualizzazioni
Transcript
1 La sicurezza delle applicazioni -dal modello tradizionale al cloud- Simone Riccetti, IT Security Architect IBM Italy 2009 IBM Corporation
2
3 Vulnerabilità riportate dai vendor Rispetto all H c è stato un incremento delle vulnerabilità del 36%. Le vulnerabilità più critiche scoperte in H sono sfruttabili da remoto. Diverse vulnerabilità critiche sono state pubblicate prima della disponibilità di patch.
4 Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento di connettività. SOA/Web Services Applicazioni legacy non progettate per essere in rete, sono visibili come servizi. Sistemi Legacy Non sempre supportano le moderne funzionalità di sicurezza (es. Autenticazione) Estensibilità: Il software è sempre più estensibile, es browser plug-in, dynamic loadable device driver L estensibilità dei software rende difficile prevederne la superficie di attacco nel tempo Complessità: La complessità delle architetture software è sempre maggiore Nel 1990, Windows 3.1 aveva 2,500,000 linee di codice. Windows XP ha circa 40,000,000 linee di codice. Il numero di bugs è proporzionale al numero di linee di codice
5
6 Secure Engineering Una serie di concetti, principi e best practice con l obiettivo di integrare la sicurezza nel software progettato. Riguarda tutte le fasi del ciclo di sviluppo del software Security by Design Security by Implementation Security by Deployment Secure Engineering non riguarda solo la fase di implementazione, ma è un approccio end-to-end
7 Quanto costa correggere una vulnerabilità? 80% dei costi di sviluppo sono spesi per identificare e correggere gli errori National Institute of Standards & Technology Quando il prodotto è stato rilasciato Durante la fase di coding $25/difetto Durante la fase di build $100/difetto Durante la fase di test $450/difetto $16,000/difetto + Perdita della fiducia del cliente, danni di immagine, etc. Caper Jones, Applied Software Measurement, 1996 * Source: 2008 GBS Industry standard study. Defect cost derived in assuming it takes 8 hrs to find, fix and repair a defect when found in code and unit test. Defect FFR cost for other phases calculated by using the multiplier on a blended rate of $80/hr.
8 Security Engineering & Software Development Life Cycle Strategia di sicurezza e metriche Definizione dei requisiti Design Implementazione Test Deploy Requisiti di sicurezza Principi di secure design Secure coding Risk analysis Vulnerability management Secure deployment Operational enablement Abuse cases Risk analysis Revisione del codice Security testing Security testing Security education
9
10 Le macro categorie di requisiti di sicurezza Auditing & logging Authentication & authorization Session management Input validation & output encoding Exception management Cryptography & integrity Data at rest Data in motion Configuration management
11 Use Cases e Misuse Cases Oltre agli Use Case, che definiscono gli aspetti funzionali dell applicazione, è necessario identificare i possibili scenari di attacco o Misuse Cases. E importante avere la prospettiva dell attacker Rer:
12
13 Secure Design..circa il 50% dei problemi di sicurezza sono dovuti ad errori architetturali
14
15 Secure Coding Quali sono le principali cause di vulnerabilità del codice? 1. Requisiti di sicurezza non definiti o poco chiari 2. Implementazione errata di requisiti corretti 3. Nella fase di deployment e configurazione non rispecchia i requisiti e le modalità operative previste Focus sul problema #2
16 The 2010 CWE/SANS Top 25 Most Dangerous Software Errors Codice CWE CWE-79 CWE-89 CWE-120 CWE-352 CWE-285 CWE-807 CWE-22 CWE-434 CWE-78 CWE-311 CWE-798 CWE-805 Descrizione Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') Cross-Site Request Forgery (CSRF) Improper Access Control (Authorization) Reliance on Untrusted Inputs in a Security Decision Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') Unrestricted Upload of File with Dangerous Type Improper Neutralization of Special Elements used in an OS Command Missing Encryption of Sensitive Data Use of Hard-coded Credentials Buffer Access with Incorrect Length Value
17 The 2010 CWE/SANS Top 25 Most Dangerous Software Errors Codice CWE CWE-98 CWE-129 CWE-754 CWE-209 CWE-190 CWE-131 CWE-306 CWE-494 CWE-732 CWE-770 CWE-601 CWE-327 CWE-362 Descrizione Improper Control of Filename for Include/Require Statement in PHP Program Improper Validation of Array Index Improper Check for Unusual or Exceptional Conditions Information Exposure Through an Error Message Integer Overflow or Wraparound Incorrect Calculation of Buffer Size Missing Authentication for Critical Function Download of Code Without Integrity Check Incorrect Permission Assignment for Critical Resource Allocation of Resources Without Limits or Throttling URL Redirection to Untrusted Site ('Open Redirect') Use of a Broken or Risky Cryptographic Algorithm Race Condition
18
19 Es. Taint String //... String username = request.getparameter("username"); String password = request.getparameter("password"); //... String query = "SELECT * from tusers where " + "userid='" + username + "' " + "AND password='" + password + "'"; //... ResultSet rs = stmt.executequery(query);
20 Es. Concorrenza. public class Main extends HttpServlet{ int accessi = 0; public void doget(httpservletrequest in, HttpServletResponse out) throws ServletException, IOException { out.setcontenttype("text/plain"); PrintWriter p = out.getwriter(); } } accessi++; try { Thread.sleep(1000); } catch (InterruptedException e) { e.printstacktrace(); } p.println( accessi + Request effettuate ");
21 Combinazione dei test di sicurezza Static Analysis Null pointer dereference Threading issues Code quality issues Issues in dead code Insecure crypto functions Issues in back-end application code Stored vulnerabilities Complex SQL injection Vulnerabilità Hybrid Analysis* Client-side issues DOM-based XSS DOM-based Open Redirect HTML5 Notification Phishing HTML5 Client-side SQL Injection Etc. Dynamic Analysis Environment configuration issues Patch level issues Runtime privileges issues Authentication issues Protocol parser/serializer issues Session management issues Issues in external 3rd party web components Cross-site request forgery Malware analysis Dynamic & Static SQL Injection Cross Site Scripting HTTP Response Splitting OS Commanding LDAP Injection XPath Injection Path Traversal Buffer Overflows Format String Issues 21
22 IBM Rational AppScan Ecosystem AppScan Enterprise / Reporting Console / Source Ed Core AppScan Source Ed for Developer / Remediation AppScan Ent. QuickScan (web client) AppScan Source Ed for Automation (scanning agent) (QA clients) AppScan Tester Ed AppScan Enterprise user (web client) AppScan Standard Ed (desktop) Rational Application Developer Rational Software Analyzer Rational ClearCase Rational Build Forge Rational Quality Manager AppScan Source Ed for Security Rational ClearQuest / Issue Management CODE Build security testing into the IDE* BUILD Automate Security / Compliance testing in the Build Process QA Security / compliance testing incorporated into testing & remediation workflows SECURITY Security & Compliance Testing, oversight, control, policy, audits IBM Rational Web Based Training for AppScan
23 Non solo i tool Security Architecture Security Implentation Code review (manuale) Vulnerabilità
24 Servizi Cloud per lo sviluppo e test
25 IBM Cloud Application Development & Test Deployment rapido di nuovi progetti Attività di transizione Demo Training POC Migration of technology Multi-site, outsourced development & test Accesso multi-sites; remote locations, etc. Team eterogeneo / contractor resources 1 Provision RTC Rational Team Concert Collaborative Development Process Facilitation Source Control Defect Management Rational Requirements Composer Dev Lead Developm ent Developme Developers Lead nt Lead 3 Developers work with RTC using web or rich client interface RTC 2 Customize preinstalled templates
26 Cosa cambia con i servizi tipo Cloud? In generale, la qualità del processo si riflette sulla qualità del prodotto, e questo vale anche per il Secure Engineering Il processo di Secure Engineering deve tener conto di diversi fattori: Skill di sicurezza Tecnologie di analisi disponibili Tipo di applicazioni sviluppate Processo di Sviluppo Tecnologie di comunicazione? Processo di Sviluppo Tecnologie di comunicazione Tipo di applicazioni sviluppate Skill di sicurezza Tecnologie di analisi disponibili Modello Tradizionale Modello cloud
27
Simone Riccetti. Applicazioni web:security by design
Simone Riccetti Applicazioni web:security by design Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento
DettagliSimone Riccetti Massimo Caprinali. La soluzione IBM per la Sicurezza delle applicazioni software
Simone Riccetti Massimo Caprinali La soluzione IBM per la Sicurezza delle applicazioni software Agenda Perchè la sicurezza del codice? Secure Engineering Security & SDLC Live Demo Vulnerabilità riportate
DettagliDomenico Ercolani Come gestire la sicurezza delle applicazioni web
Domenico Ercolani Come gestire la sicurezza delle applicazioni web Agenda Concetti generali di sicurezza applicativa La soluzione IBM La spesa per la sicurezza non è bilanciata Sicurezza Spesa Buffer Overflow
DettagliLa sicurezza delle applicazioni
La sicurezza delle applicazioni -dal modello tradizionale al cloud- Simone Riccetti, IT Security Architect IBM Italy 2009 IBM Corporation Agenda Perchè la sicurezza delle applicazioni? Approcci al Secure
DettagliAspetti di sicurezza per l innovazione nel Web
Aspetti di sicurezza per l innovazione nel Web Attacchi tipo Drive-by Downloads e x-morphic Simone Riccetti IBM Security Services Sr. IT Security Architect Agenda Web 2.0: Evoluzione delle minacce Attacchi
DettagliIntroduzione alla sicurezza nel Web
Introduzione alla sicurezza nel Web Simone Riccetti, IBM ISS Sr. IT Security Architect simone.riccetti@it.ibm.com Agenda Analisi del Problema Security Landscape Vulnerabilità e Minacce Metodologie e Architetture
DettagliEarly Warning. Bollettino VA-IT-130911-01.A
Early Warning Bollettino VA-IT-130911-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-130911-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
DettagliApplicazioni software e gestione delle vulnerabilità: un caso concreto di successo
Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,
DettagliMassimo Caprinali. Rational Client Technical Professional La soluzione IBM Rational per la Sicurezza
Massimo Caprinali Rational Client Technical Professional La soluzione IBM Rational per la Sicurezza 2009 IBM CIO Survey: Risk Management e Compliance sono considerati fra gli elementi piu importanti del
DettagliDomenico Ercolani Gestire la sicurezza e la compliance delle applicazioni web
Domenico Ercolani Gestire la sicurezza e la compliance delle applicazioni web Agenda Concetti generali di sicurezza applicativa Rational AppScan Standard / Enterprise Edition Source Edition > Black-Box
DettagliCarlo, Pelliccioni Security
OWASP Top 10 2007 Le nostre informazioni sono veramente al sicuro? Carlo, Pelliccioni Security Consultant, @Mediaservice.net OWASP-Day Università La Sapienza Rome 10 th September 2007 carlo@mediaservice.net
DettagliID: CERT-PA-B Data: 30/12/2015
Bollettino: Statistiche vulnerabilità 2015 ID: Data: 30/12/2015 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati
DettagliBollettino VA-IT-131112-01.B
Early W a r ning Bollettino VA-IT-131112-01.B Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-131112-01.B Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
DettagliSecurity policy e Risk Management: la tecnologia BindView
NETWORK SECURITY COMPANY Security policy e Risk Management: la tecnologia BindView www.bindview.com Luca Ronchini lr@symbolic.it Security policy e Risk Management : vulnerabilty management e security assessment,
DettagliApplication Security Governance
Application Security Governance 28 ottobre 2010 Francesco Baldi Security & Risk Management Practice Principal 1 AGENDA Problematiche di sicurezza applicativa Modello di riferimento Processo di sicurezza
DettagliIntroduzione all OWASP- Day II
Introduzione all OWASP- Day II Matteo Meucci OWASP-Day Università La Sapienza Rome 31 st March, 2008 OWASP-Italy Chair CEO Minded Security matteo.meucci@owasp.org Copyright 2007 - The OWASP Foundation
DettagliBollettino VA-IT-150129-01.A
Early W a r ning Bollettino VA-IT-150129-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-150129-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
DettagliArchitetture Web: un ripasso
Architetture Web: un ripasso Pubblicazione dinamica di contenuti. Come si fa? CGI Java Servlet Server-side scripting e librerie di tag JSP Tag eseguiti lato server Revisione critica di HTTP HTTP non prevede
DettagliThe approach to the application security in the cloud space
Service Line The approach to the application security in the cloud space Manuel Allara CISSP CSSLP Roma 28 Ottobre 2010 Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance
DettagliCiclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it
Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1 Il processo di sviluppo sicuro del codice (1/2) Il processo di sviluppo sicuro del codice () è composto
DettagliIndice register_globals escaping
1 Indice La sicurezza delle applicazioni web Le vulnerabilità delle applicazioni web La sicurezza in PHP: La direttiva register_globals Filtrare l'input Filtrare l'output (escaping) SQL Injection Cross
DettagliEarly Warning Bollettino VA-IT-131028-01.B
Early Warning Bollettino VA-IT-131028-01.B Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-131028-01.B Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
DettagliValorizzazione della professionalità di SW Quality Assurance
Valorizzazione della professionalità di SW Quality Assurance 17 Esther BEVERE Miriam MERENDA ALTEN Italia Agenda Rilevanza della Professionalità del Software Tester Professionalità nel Testing Percorsi
DettagliCome valutare la maturità del proprio modello di sviluppo del software
Come valutare la maturità del proprio modello di sviluppo del software Matteo Meucci Chair OWASP Day per la PA Roma 9, Novembre 2010 Copyright 2010 - The OWASP Foundation Permission is granted to copy,
DettagliProduct Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013
Product Management & Partnerships Industrial & SCADA Infrastructure Protection Milano 30 Ottobre 2013 VIDEO IL NUOVO PANORAMA Le minacce sono più complesse E con tante risorse da proteggere il personale
DettagliManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM. Andrea Mannara Business Unit Manager
ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM Andrea Mannara Business Unit Manager ManageEngine Portfolio Network Data Center Desktop & MDM ServiceDesk & Asset Active Directory Log &
DettagliKLEIS WEB APPLICATION FIREWALL
KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application
DettagliBollettino VA-IT-140313-01.A
Early W a r ning Bollettino VA-IT-140313-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-140313-01.A Pag. 2/6 C A N D I D A T E CORRISPONDENZE EARLY WARNING INFORMAZIONI
DettagliIT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994
ISA ICT Value Consulting IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di Consulting ICT alle organizzazioni
DettagliBollettino VA-IT-140901-01.A
Early W a r ning Bollettino VA-IT-140901-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-140901-01.A Pag. 2/6 C A N D I D A T E CORRISPONDENZE EARLY WARNING INFORMAZIONI
DettagliIl processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it
Il processo di sviluppo sicuro Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Argomenti: Perchè farlo Il processo di
DettagliN 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti.
ERRATA CORRIGE N 1 alla versione bilingue (italiano-inglese) DEL 31 luglio 2009 NORMA UNI EN ISO 9001 (novembre 2008) TITOLO Sistemi di gestione per la qualità - Requisiti Punto della norma Pagina Oggetto
DettagliIntroduzione ai Web Services Alberto Polzonetti
PROGRAMMAZIONE di RETE A.A. 2003-2004 Corso di laurea in INFORMATICA Introduzione ai Web Services alberto.polzonetti@unicam.it Introduzione al problema della comunicazione fra applicazioni 2 1 Il Problema
DettagliConcetti base di sicurezza applicativa web. Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna
Concetti base di sicurezza applicativa web Massimo Carnevali Responsabile Esercizio dei Sistemi Informativi Comune di Bologna Agenda Concetti base Esempio reale (SQL code injection) Come cambia lo scenario
DettagliTeamPortal. Servizi integrati con ambienti Gestionali
TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione
DettagliTest e collaudo del software Continuous Integration and Testing
Test e collaudo del software Continuous Integration and Testing Relatore Felice Del Mauro Roma, Cosa è la Continuous Integration A software development practice where members of a team integrate their
DettagliSecure Code Review: dalla teoria alla pratica
Secure Code Review: dalla teoria alla pratica Antonio Parata http://www.emaze.net Antonio.parata@emaze.net OWASP-Day III Centro di Competenza ICT-Puglia - Dipartimento di Informatica Università degli Studi
DettagliTomcat & Servlet. Contenuti. Programmazione in Ambienti Distribuiti. Tomcat Applicazioni Web. Servlet JSP Uso delle sessioni
Tomcat & Servlet Programmazione in Ambienti Distribuiti V 1.2 Marco Torchiano 2005 Contenuti Tomcat Applicazioni Web Struttura Sviluppo Deployment Servlet JSP Uso delle sessioni 1 Tomcat Tomcat è un contenitore
DettagliOWASP e gli standard per la sicurezza applicativa
OWASP e gli standard per la sicurezza applicativa Matteo Meucci OWASP-Italy Chair OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation Permission is granted to copy, distribute
DettagliDallo sviluppo all'esercizio: application lifecycle management a 360
Dallo sviluppo all'esercizio: application lifecycle management a 360 Laura Venturini IBM Rational software email: laura_venturini@it.ibm.com Umberto Fogagnolo IBM Tivoli software email: umberto_fogagnolo@it.ibm.com
DettagliID: CERT-PA-B Data: 29/12/2017
Bollettino: Statistiche vulnerabilità 2017 con dettaglio sui principali software ID: Data: 29/12/2017 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento
DettagliAttacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)
UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL
DettagliEarly Warning Bollettino VA-IT-130709-01.A
Early Warning Bollettino VA-IT-130709-01.A C A N D I D A T E CORR ISPONDE NZE VULNERABILITY ALERT INFORMAZIONI GENERALI DELLA VULNERABILITÀ TITOLO Stack Based Buffer Overflow in AutoTrace Data Pubblicazione
DettagliAnalisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting
Pattern Recognition and Applications Lab Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Dott. Ing. Igino Corona igino.corona (at) diee.unica.it Corso Sicurezza
DettagliWorkflow di Test. Valerio Mercanti - ISP0607 1
Workflow di Test Valerio Mercanti - ISP0607 1 Obiettivo del workflow di test Verificare l interazione tra oggetti e componenti Verificare la corretta integrazione di tutti i componenti del software Verificare
DettagliStima dell'effort. IT Project Management. Lezione 6 Stima dell effort Federica Spiga. Monitoring del progetto (Earned Value)
IT Project Management Lezione 6 Stima dell effort Federica Spiga A.A. 2009-2010 1 Check list del PM Identificare i requisiti del cliente Monitoring del progetto (Earned Value) Identificare i deliverable
DettagliSistemi elettronici per la sicurezza dei veicoli: presente e futuro. Il ruolo della norma ISO 26262 per la Sicurezza Funzionale
La Sicurezza Funzionale del Software Prof. Riccardo Sisto Ordinario di Sistemi di Elaborazione delle Informazioni Dipartimento di Automatica e Informatica Sicurezza Funzionale del Vari Aspetti Sicurezza
DettagliPieces of Technology at your service. dottesttm
Pieces of Technology at your service dottesttm DOTNET - AUTOMATIZZAZIONE DELL ANALISI STATICA, CODE REVIEW, TEST UNIT dottest è una soluzione di test di sviluppo integrato per automatizzare una vasta gamma
DettagliOpen Source Tools for Network Access Control
Open Source Tools for Network Access Control Sicurezza e usabilità per ambienti di rete BYOD Esempio di rete (tradizionale) Esempio di rete (tradizionale) Layout ben definito Numero di end point ben definito
DettagliIT Service e Asset Management
IT Service e Asset Management la soluzione Guella Barbara Tivoli Technical Sales 2007 IBM Corporation IBM ISM & Maximo Una soluzione unica per l esecuzione dei processi Incident & Problem Mgmt Knowledge
DettagliLe linee guida OWASP per la sicurezza applicativa
Le linee guida per la sicurezza applicativa Matteo Meucci, CISSP, CISA -Italy Chair Testing Guide Lead Convegno ABI 22 Maggio 2007, Roma matteo.meucci@owasp.org Copyright 2007 - The Foundation Permission
DettagliTeamPortal. Infrastruttura
TeamPortal Infrastruttura 05/2013 TeamPortal Infrastruttura Rubriche e Contatti Bacheca Procedure Gestionali Etc Framework TeamPortal Python SQL Wrapper Apache/SSL PostgreSQL Sistema Operativo TeamPortal
DettagliQuality gate. Sono eventi programmati regolarmente e condotti seguendo una procedura standard
Quality gate Nei punti chiave del processo di sviluppo del software, viene integrato un insieme di quality gate per monitorare la qualità del prodotto intermedio prima che quest ultimo possa passare al
DettagliIntroduzione all Agile Software Development
IBM Rational Software Development Conference 5RPDRWWREUH 0LODQR RWWREUH Introduzione all Agile Software Development 0DULDQJHOD2UPH Solution Architect IBM Rational Services PRUPH#LWLEPFRP 2008 IBM Corporation
DettagliSecurity Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile. Francesco Faenzi, Security Practice Manager
Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile Francesco Faenzi, Security Practice Manager Agenda Framework & Vision Value Proposition Solution Center Referenze
DettagliLa strada per sviluppare più rapidamente: Unit Test & Continuous Integration
La strada per sviluppare più rapidamente: Unit Test & Continuous Integration by Enrico Zimuel Senior Consultant & Architect Zend Technologies Email: enrico.z@zend.com Blog: http://www.zimuel.it/blog Copyright
DettagliAgenda BlackBerry Enterprise Update Diego Ghidini L evoluzione dei modelli di lavoro: Scenari e Opportunità per le Aziende
12 MARZO - ROMA Agenda 10.15 BlackBerry Enterprise Update Diego Ghidini 10.30 L evoluzione dei modelli di lavoro: Scenari e Opportunità per le Aziende Alessandro Piva 11.15 Dall Enterprise Mobility al
DettagliNEAL. Increase your Siebel productivity
NEAL Increase your Siebel productivity Improve your management productivity Attraverso Neal puoi avere il controllo, in totale sicurezza, di tutte le Enterprise Siebel che compongono il tuo Business. Se
DettagliPIANIFICAZIONE DI PROGETTO DI SISTEMI INFORMATIVI
PIANIFICAZIONE DI PROGETTO DI SISTEMI INFORMATIVI OBIETTIVI 1. Descrivere approcci e attività tipiche per pianificare e impostare il progetto di un S.I. 2. Identificare problemi chiave 3. Illustrare alcuni
DettagliBollettino VA-IT-131203-01.A
Early Warning Bollettino VA-IT-131203-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - BollettinoVA-IT-131203-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
DettagliSPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE
SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE La sicurezza delle applicazioni web si sposta a un livello più complesso man mano che il Web 2.0 prende piede.
DettagliPerché e cosa significa una strategia mobile?
Perché e cosa significa una strategia mobile? Ezio Viola Co-Founder & Direttore Generale The Innovation Group Due immagini simbolo/1 2 Due immagini simbolo /2 3 Mercato pc/device mobili e apps, mobile
DettagliKLEIS A.I. SECURITY SUITE
KLEIS A.I. SECURITY SUITE Protezione dei servizi non web Kleis A.I. SecureMail, Kleis A.I. SecureEmulation, Kleis A.I. SecureXEmulation, Kleis A.I. SecureTransfer, Kleis A.I. SecureShare www.kwaf.it Protezione
DettagliLo stato dell'arte dei progetti OWASP ed i falsi miti sull'uso dei tool
Lo stato dell'arte dei progetti OWASP ed i falsi miti sull'uso dei tool Matteo Meucci Paolo Perego Security Summit 2011 Giorgio Fedon Milan 15th March, 2011 Copyright 2011- The OWASP Foundation Permission
DettagliAgenda. IT Security Competence Center Web Application Security. Web Application Security. Tito Petronio 03/03/2011
IT Security Competence Center Web Application Security Tito Petronio SANS GCFA, GWAS Certified Professional 18 Febbraio 2011 Agenda Web Application Security OWASP Vulnerabilità delle Applicazioni Web Sicurezza
DettagliSpike Information Security Awareness Program. Daniele Vitali Senior Security Consultant
Spike Information Security Awareness Program Daniele Vitali Senior Security Consultant Information Security Awareness NIST Special Publication 800-16 Awareness is not training. The purpose of awareness
DettagliL'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security
L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation
DettagliArchitettura MVC-2: i JavaBeans
Siti web centrati sui dati Architettura MVC-2: i JavaBeans Alberto Belussi anno accademico 2008/2009 Limiti dell approccio SEVLET UNICA La servlet svolge tre tipi di funzioni distinte: Interazione con
Dettagli<Insert Picture Here> Security Summit 2010
Security Summit 2010 Frodi: Realizzare il Perimetro Virtuale Sicuro Paolo Zanotti, Business-e Spa Lo scenario lavorativo mobile e globale genera nuovi requisiti nella gestione del
DettagliSecurity by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit.
Security by design Come la gestione di un progetto può minimizzare i rischi per il business Alessio L.R. Pennasilico - apennasilico@clusit.it 22 Febbraio 2013 - Milano Alessio L.R. Pennasilico Security
DettagliSiti web centrati sui dati Architettura MVC-2: i JavaBeans
Siti web centrati sui dati Architettura MVC-2: i JavaBeans 1 ALBERTO BELUSSI ANNO ACCADEMICO 2009/2010 Limiti dell approccio SEVLET UNICA La servlet svolge tre tipi di funzioni distinte: Interazione con
DettagliSecurity by example. Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net. LUG Trieste. Alessandro Tanasi - alessandro@tanasi.
Security by example Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net Chi vi parla? Consulente Penetration tester Forenser Sviluppatore di software per il vulnerability assessment
DettagliIntroduzione al Simple Cloud API
Introduzione al Simple Cloud API by Enrico Zimuel Senior Consultant & Architect Zend Technologies enrico@zend.com Mi presento Dal 2008 Senior Consultant e Architect presso Zend Technologies Software Engineer
DettagliQuando si sa chiaramente come si deve comportare l applicazione si può analizzare una possibile soluzione applicativa.
Introduzione alla tecnologia JMX 1 Viene analizzata l architettura sottostante le Java Managment Extensions (JMX) mostrandone un utilizzo applicativo e analizzando altri possibili scenari d uso di Ivan
DettagliVPN RETI PRIVATE VIRTUALI: ACCESSO REMOTO
TERMINAL SERVER E XSERVER VPN RETI PRIVATE VIRTUALI: ACCESSO REMOTO Fondazione dell'ordine degli Ingegneri della Provincia di Milano Commissione per l'ingegneria dell'informazione ing. Gianluca Sironi
DettagliEarly Warning. Bollettino VA-IT-130708-01.A
Early Warning Bollettino VA-IT-130708-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-130708-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
DettagliIBM UrbanCode Deploy Live Demo
Dal 1986, ogni giorno qualcosa di nuovo Marco Casu IBM UrbanCode Deploy Live Demo La soluzione IBM Rational per il Deployment Automatizzato del software 2014 www.gruppoconsoft.com Azienda Nata a Torino
DettagliRational Unified Process Introduzione
Rational Unified Process Introduzione G.Raiss - A.Apolloni - 4 maggio 2001 1 Cosa è E un processo di sviluppo definito da Booch, Rumbaugh, Jacobson (autori dell Unified Modeling Language). Il RUP è un
DettagliALLEGATO 8.1 DESCRIZIONE PROFILI PROFESSIONALI
PROCEDURA DI SELEZIONE PER L AFFIDAMENTO DEL SERVIZIO DI PROGETTAZIONE, ANALISI, SVILUPPO, MANUTENZIONE ADEGUATIVA, CORRETTIVA ED EVOLUTIVA DI SISTEMI INFORMATIVI SU PIATTAFORMA IBM WEBSPHERE BPM (EX LOMBARDI)
DettagliApplicazioni software e gestione delle vulnerabilità: un caso concreto di successo
Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GPPA, GCFA Fabio Bucciarelli, GCFA, CEH Presentazione del relatore Agenda Analisi
DettagliDigitPA - P@norama sulle tecnologie innovative
DigitPA - P@norama sulle tecnologie innovative La Sicurezza Applicativa Stato dell arte ed iniziative in corso in SOGEI RELATORE: Francesco GERBINO 17 gennaio 2011 Agenda Presentazione della Società La
DettagliCertificazione ISO 20000:2005 e Integrazione con ISO 9001:2000 e ISO 27001:2005. Certification Europe Italia
Certificazione ISO 20000:2005 e Integrazione con ISO 9001:2000 e ISO 27001:2005 Certification Europe Italia 1 IT Service Management & ITIL Ä La IT Infrastructure Library (ITIL) definisce le best practice
DettagliBollettino VA-IT-140703-01.A
Early W a r ning Bollettino VA-IT-140703-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-140703-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
DettagliInfrastruttura di produzione INFN-GRID
Infrastruttura di produzione INFN-GRID Introduzione Infrastruttura condivisa Multi-VO Modello Organizzativo Conclusioni 1 Introduzione Dopo circa tre anni dall inizio dei progetti GRID, lo stato del middleware
DettagliEsempi pratici, risultati e contromisure consigliate. Massimo Biagiotti
L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione
DettagliLe nuove soluzioni in risposta alle esigenze delle imprese
Le nuove soluzioni in risposta alle esigenze delle imprese Giuseppe Troncone Partner, Business Consulting Service Financial Services Sector Leader IBM Italia Il Modello competitivo del mercato Corporate
DettagliNoi siamo quello che facciamo ripetutamente. Perciò l'eccellenza non è un'azione, ma un'abitudine. Aristotele. Qualità del Software
Noi siamo quello che facciamo ripetutamente. Perciò l'eccellenza non è un'azione, ma un'abitudine. Aristotele Qualità del Software Quality Assurance per tutte le esigenze Web Site Testing Mobile Application
DettagliLa ISA nasce nel 1994. Servizi DIGITAL SOLUTION
ISA ICT Value Consulting La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi
DettagliImplementing Microsoft Azure Infrastructure Solutions (MOC 20533)
Implementing Microsoft Azure Infrastructure Solutions (MOC 20533) Durata Il corso dura 4,5 giorni. Scopo Il corso è dedicato a professionisti IT con esperienza che amministrano la loro infrastruttura on-premise.
DettagliI I SISTEMI INFORMATIVI INTEGRATI. Baan IV IV - Enterprise e Orgware NOTE
I I SISTEMI INFORMATIVI INTEGRATI Baan IV IV - Enterprise e Orgware Strumento Enterprise (Azienda) Sistema Informativo Aziendale (EIS Enterprise Information System) Indicatori di Rendimento (PI - Performance
DettagliTracciabilità degli utenti in applicazioni multipiattaforma
Tracciabilità degli utenti in applicazioni multipiattaforma Case Study assicurativo/bancario Yann Bongiovanni y.bongiovanni@integra-group.it Roma, 4 ottobre 2006 Retroscena Un azienda multinazionale del
DettagliIL NAC alla SAPIENZA-NET
IL NAC alla SAPIENZA-NET NET Breve descrizione della rete Obiettivi Network Admission Control Descrizione Caratteristiche Tecnologia SAPIENZA-NET Qualche numero 16 mila nodi 43 sedi (Roma+Latina+Civitavecchia+.)
DettagliDott. Marcello Pistilli Business Development Manager. del software alla produzione:
Direzione Tecnica /BU Sicurezza Dott. Marcello Pistilli Business Development Manager Ethical Hacking, dallo sviluppo del software alla produzione: Code review e Pen testing 07/05/2008 M300-5 FATTORE UMANO
DettagliSecurity Patch Management
II INFN SECURITY WORKSHOP - Parma 24/25 Febbraio 2004 Security Patch Management Francesca Del Corso INFN Sez. Firenze delcorso@fi.infn.it PERCHE E IMPORTANTE IL SECURITY PATCH MANAGEMENT Downtime Remediation
DettagliStrumenti per la gestione della configurazione del software
tesi di laurea Anno Accademico 2005/2006 relatore Ch.mo prof. Porfirio Tramontana correlatore Ch.mo ing. Luigi Suarato candidato Pasquale Palumbo Matr. 534/000021 MANUTENZIONE DEL SOFTWARE Il Configuration
DettagliGestione delle configurazioni software
Gestione delle configurazioni software Attività ausiliaria che abbraccia tutto il processo software. Un cambiamento può avvenire in qualunque momento. Le attività di SCM hanno lo scopo di: 1. Riconoscere
DettagliBollettino: Statistiche vulnerabilità 2016
Bollettino: Statistiche vulnerabilità 2016 ID: Data: 30/12/2016 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevat
DettagliLe sfide del Mobile computing
Le sfide del Mobile computing 2013 IBM Corporation Il Mobile Computing ridefinisce la tecnologia in campo. L'intero sistema di gestione tecnologica e applicativa viene rimodellato su questa nuova realtà.
DettagliTecnologie, processi e servizi per la sicurezza del sistema informativo
Tecnologie, processi e servizi per la sicurezza del sistema informativo Carlo Mezzanotte Direttore Servizi Sistemistici Microsoft Italia Forze convergenti Ampio utilizzo Attacchi sofisticati Problemi di
DettagliRischi e vulnerabilità nelle applicazioni aziendali
Rischi e vulnerabilità nelle applicazioni aziendali Presentazione Salvatore Capuano Collaboratore scientifico SUPSI e responsabile del Microsoft.NET Competence Center salvatore.capuano@supsi.ch Obiettivi
Dettagli