OWASP Day IV: introduzione



Documenti analoghi
Introduzione all OWASP- Day II

OWASP e gli standard per la sicurezza applicativa

Come valutare la maturità del proprio modello di sviluppo del software

Le linee guida OWASP per la sicurezza applicativa

Lo stato dell'arte dei progetti OWASP ed i falsi miti sull'uso dei tool

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

Il processo di sviluppo sicuro. Kimera Via Bistolfi, Milano

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

Security Summit Insert Company Logo. L evoluzione nella sicurezza delle applicazioni Lucilla Mancini, Massimo Biagiotti, Business-e

Banking Cybercrime: Attacchi e scenari di banking malware in Italia IEEE-DEST The OWASP Foundation. Giorgio Fedon Owasp Italy Technical Director

Progetti Open Source Per La Sicurezza Delle Web Applications OWASP. The OWASP Foundation

Iniziativa: "Sessione di Studio" a Milano

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it

Secure Code Review: dalla teoria alla pratica

Spike Information Security Awareness Program. Daniele Vitali Senior Security Consultant

Carlo, Pelliccioni Security

Pubblicazioni COBIT 5

The approach to the application security in the cloud space

Domenico Ercolani Come gestire la sicurezza delle applicazioni web

Introduzione al Project Management

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza

CSA Italy: "Portabilità, interoperabilità e sicurezza applicativa nel cloud"

The quest for secure code

DigitPA - P@norama sulle tecnologie innovative

XXVII Convegno Nazionale AIEA


PEOPLE HAVE THE POWER

ALLEGATO 8.1 DESCRIZIONE PROFILI PROFESSIONALI

Application Security Governance

Test e collaudo del software Continuous Integration and Testing

IS Governance. Francesco Clabot Consulenza di processo.

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

Catalogo Corsi. Aggiornato il 16/09/2013

Creare la massa critica Building critical mass

Associazione Italiana Information Systems Auditors

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit.

Valorizzazione della professionalità di SW Quality Assurance

The OWASP Foundation

In-Diversity Newsletter 3

Dott. Marcello Pistilli Business Development Manager. del software alla produzione:

Un CMS potente e versatile

La gestione della sicurezza applicativa nelle aziende italiane

DEFENCE in DEPTH. Strategie di riduzione della superficie d attacco e dei rischi informatici

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

Iniziativa : "Sessione di Studio" a Torino

La consapevolezza della sicurezza nella PA. L esperienza MIUR

Iniziativa : "Sessione di Studio" a Roma

Incentive & La soluzione per informatizzare e gestire il processo di. Performance Management

LINEA PROJECT MANAGEMENT

Gli strumenti dell ICT

Iniziativa : "Sessione di Studio" a Milano. 19 Maggio 2010 presso Unicredit Global Information Services via Livio Cambi, 1 (MM1 - Lampugnano)

Corso di Amministrazione di Sistema Parte I ITIL 1

Gruppo di Lavoro: ITIL & Analisi dei Rischi. Marco Pinzaglia

Your business to the next level

La platea dopo la lettura del titolo del mio intervento

catalogo corsi di formazione 2014/2015

Risparmiare innovando

Iniziativa : "Sessione di Studio" a Roma

IPMA OCB, le Competenze organizzative per le aziende Project Based

LICENZE D'USO E TIPOLOGIE DI SOFTWARE

La gestione della qualità nelle aziende aerospaziali

Rational Unified Process Introduzione

Re-Imagine Serbian Excellence

SPARQL Injection attacking the triple store

ILSISTEMA INTEGRATO DI PRODUZIONE E MANUTENZIONE

Reputation Day. Come governare e influenzare le informazioni in rete

Le principali evidenze emerse Giancarlo Capitani Presidente NetConsulting cube

COMITATO dei PROBIVIRI AIEA

Il Project Management a supporto del percorso di trasformazione di una Banca

L approccio di Consip alla sicurezza applicativa. Matteo Cavallini

Eco-REFITec: Seminary and Training course

Reply Business Intelligence Overview

Ciclo di vita dimensionale

Qlik Services. Roma 10 Giugno, 2015

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture

Funzione Strumentale Nuove Tecnologie

1.ECDL BASE. Computer Essentials

SISTEMI INFORMATICI/WEBGIS PER LA GESTIONE DI DATI AMBIENTALI E TERRITORIALI Povo, Steno Fontanari

Quaderni. Clusit. La verifica della sicurezza di applicazioni Web-based ed il progetto OWASP

Paolo Zatelli. Dipartimento di Ingegneria Civile e Ambientale Università di Trento. Open Source e Free Software. Open Source e Free Software

MService La soluzione per ottimizzare le prestazioni dell impianto

Ministero dell istruzione, dell università e della ricerca. Liceo Tecnologico. Indirizzo Logistica e Trasporti

VULNERABILITY ASSESSMENT E PENETRATION TEST

Software Product Lines (SPL)

Soluzioni informatiche per l'efficacia dei processi bancari

ITIL cos'è e di cosa tratta

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Stima dell'effort. IT Project Management. Lezione 6 Stima dell effort Federica Spiga. Monitoring del progetto (Earned Value)

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

Ingegneria del Software

TXT e-solutions. Passion for Quality. Banking&Finance

CEPIS e-cb Italy Report. Roberto Bellini (da leggere su )

IT Service Management

Il mestiere del security manager. Giorgio Ledda Senior Director Security Oracle Corporation

SocialMediaDivision. grippiassociati WEB AGENCY SINCE Social Marketing & Divulgazione Virale.

ESI International Project Management & Business Analysis Solutions

Business Consultant & ICT Strategic Partner. Un team di consulenti esperti nei processi e nei sistemi AZIENDALI

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

Bozza Guida ufficiale vs 1.0

The OWASP Foundation. Matteo Meucci Raoul Chiesa Antonio Parata Paolo Perego Giorgio Fedon. Security Summit 2010

Transcript:

OWASP Day IV: introduzione Matteo Meucci OWASP-Italy Chair CEO Minded Security OWASP-Italy Day IV Milan 6th, November 2009 Copyright 2008 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation http://www.owasp.org

Who am I? Research OWASP-Italy Chair OWASP Testing Guide Lead Work CEO @ Minded Security Application Security Consulting 8+ years on Information Security focusing on Application Security

OWASP Day per la PA 2009

9:00 Registration 9:30 Introduction to the OWASP Day Matteo Meucci OWASP Italy Chair 9:50 How to Create Business cases for Your Software Security Initiative Marco Morana CISO, Citigroup 10:30 OWASP SAMM / Open Software Assurance Maturity Model Claudio Merloni Software Security Consultant, Fortify Software 11:10 Coffee break 11:40 From Web Attacks to Malware. Can Secure Software Development Help Internet Banking Security? Giorgio Fedon COO, Minded Security 12:20 Usability versus security: securing Internet facing applications while keeping them highly attractive for everybody" (ENG) Tobias Christen CTO, DSwiss Ltd 13:00 Business Lunch 14:00 NoScript, CSP and ABE: When the Browser Is Not Your Enemy Giorgio Maone CTO, InformAction 14:40 Building Security In Maturity Model: A Review of Successful Software (ENG) Gabriele Giuseppini Technical Manager, Cigital 15:20 The art of code reviewing Paolo Perego Senior Consultant, Spike Reply 16:00 Round Table: Why Software Security is not a priority in our digital world? M. Morana, C. Merloni, G. Giuseppini, S. Di Paola, M.Bregolin Keynote R. Chiesa 4

Certificazione CSSLP di ISC2 5

OWASP: The Open Web Application Security Project

Il progetto Open Web Application Security Project (OWASP) è una organizzazione Open Source dedicata alla creazione e alla diffusione di una cultura per quanto riguarda la sicurezza delle applicazioni web Progetto free, come il materiale disponibile sul portale www.owasp.org Migliaia di membri, +100 capitoli locali e altri partecipanti ai progetti. Milioni di hit su www.owasp.org al mese Defense Information Systems Agency (DISA), US Federal Trade Commission (FTC), VISA, Mastercard, American Express e molte aziende in Italia hanno adottato la documentazione OWASP nei loro standard e linee guida

OWASP Worldwide Community 25000 20000 15000 10000 5000 0 Participants 160 140 120 100 80 60 40 20 0 Chapters 8

OWASP Dashboard Worldwide Users Most New Visitors 250 200 22,782,709 page views 150 100 50 0 01/10/2002 01/10/2003 01/10/2004 01/10/2005 01/10/2006 01/10/2007 9

La base di conoscenza di OWASP 6,381 Articoli 427 presentazioni 200 aggiornamenti/giorno 271 mailing lists 180 blog monitorati

OWASP Top Ten www.owasp.org/index.php?title=top_10_2007 OWASP-Italy Day IV 11 6th, Nov 09 OWASP

Linee Guida OWASP Gratuite e open source Libri a basso costo Coprono tutti i controlli di sicurezza Centinaia di esperti Tutti gli aspetti di sicurezza applicativa 12

OWASP Building Guide Al fine di comprendere ed eliminare le cause della insicurezza nel software,owasp ha sviluppato la guida per lo sviluppo delle applicazioni web sicure pensata per: Sviluppatori per implementare i meccanismi di sicurezza ed evitare le vulnerabilità; Project manager che la utilizzano per identificare le attività da svolgere (threat modeling, code review, development); Team di sicurezza che la usano per apprendere le tematiche di application security e l approccio per la messa in sicurezza;

OWASP Code Review Guide Descrive la metodologia OWASP per testare il codice di un applicazione (white box testing, conoscendo il codice sorgente)

OWASP Testing Guide Descrive la metodologia OWASP per testare la sicurezza di un applicativo web SANS Top 20 2007 NIST Technical Guide to Information Security Testing (Draft) Gary McGraw (CTO Cigital) says: In my opinion it is the strongest piece of Intellectual Property in the OWASP portfolio

OWASP Software Assurance Maturity Model 16

OWASP WebGoat 17

OWASP WebScarab 18

Principali progetti OWASP BOOKS Owasp top10 Building guide Code review guide Testing guide TOOLS WebGoat WebScarab SQLMap SQL Ninja SWF Intruder Orizon Code Crawler

Il ciclo di vita del software e la sicurezza

Il ciclo di vita del software Il Ciclo di Vita del Software (Sofware Development Life Cycle, SDLC) comprende : Define Design Develop Deploy Maintain Quali processi implementare? Awareness Secure Code Guidelines Code Review Application Testing

SDLC & OWASP Guidelines e tools Before SDLC Define&Design Development Deploy&Maintenance Awareness Building Guide Code Review Guide Testing Guide OWASP Guidelines OWASP Top10 Web Goat.NET CSRFGuard ESAPI Orizon LAPSE WebScarab SWF Intruder SQLNinja SQLMap Pantera OWASP Tools

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back