Threat Modelling e Security Requirements Identification
Il Threat Modelling e l’identificazione dei Security Requirements sono due processi essenziali per la sicurezza informatica di qualsiasi organizzazione che si appresti a creare un software o un sistema informativo. È un servizio che si concentra sulla determinazione e sull’analisi delle potenziali minacce che possono influenzare un’applicazione o un sistema in fase di sviluppo. Questo servizio utilizza metodologie riconosciute a livello internazionale, come STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) e PASTA (Process for Attack Simulation and Threat Analysis), per identificare, quantificare e affrontare le minacce che potrebbero trasformarsi in un rischio per l’organizzazione. Al termine dell’analisi del progetto, vengono suggeriti possibili Security Requirements che possono mitigare o eliminare le minacce identificate.
Questo servizio si allinea strettamente con la metodologia OWASP SAMM (Software Assurance Maturity Model). L’OWASP SAMM è un framework progettato per aiutare le organizzazioni a formulare e implementare una strategia per la sicurezza del software che è integrata nel processo di sviluppo sicuro.
Secure Coding & Manual Code Review
Questo servizio si concentra sulla revisione del codice sorgente per identificare potenziali vulnerabilità di sicurezza. Si utilizzano una combinazione di tecniche manuali e automatizzate per esaminare il codice sorgente. Questo servizio è particolarmente utile per rilevare vulnerabilità che vengono inserite nel codice dell’applicazione mentre questa viene sviluppata e prima del rilascio nell’ambiente di produzione prevenendo così che possano essere sfruttate da attori malevoli.
Anche per questo servizio vengono utilizzate le metodologie di Secure Coding e Code Review messe a disposizione da OWASP che garantiscono una completa copertura e riproducibilità dei casi di test.
Il Threat Modelling e l’identificazione dei Security Requirements sono due processi essenziali per la sicurezza informatica di qualsiasi organizzazione che si appresti a creare un software o un sistema informativo. È un servizio che si concentra sulla determinazione e sull’analisi delle potenziali minacce che possono influenzare un’applicazione o un sistema in fase di sviluppo. Questo servizio utilizza metodologie riconosciute a livello internazionale, come STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) e PASTA (Process for Attack Simulation and Threat Analysis), per identificare, quantificare e affrontare le minacce che potrebbero trasformarsi in un rischio per l’organizzazione. Al termine dell’analisi del progetto, vengono suggeriti possibili Security Requirements che possono mitigare o eliminare le minacce identificate.
Questo servizio si allinea strettamente con la metodologia OWASP SAMM (Software Assurance Maturity Model). L’OWASP SAMM è un framework progettato per aiutare le organizzazioni a formulare e implementare una strategia per la sicurezza del software che è integrata nel processo di sviluppo sicuro.
Questo servizio si concentra sulla revisione del codice sorgente per identificare potenziali vulnerabilità di sicurezza. Si utilizzano una combinazione di tecniche manuali e automatizzate per esaminare il codice sorgente. Questo servizio è particolarmente utile per rilevare vulnerabilità che vengono inserite nel codice dell’applicazione mentre questa viene sviluppata e prima del rilascio nell’ambiente di produzione prevenendo così che possano essere sfruttate da attori malevoli.
Anche per questo servizio vengono utilizzate le metodologie di Secure Coding e Code Review messe a disposizione da OWASP che garantiscono una completa copertura e riproducibilità dei casi di test.
