Matteo Flora

La Web Application Security parla (anche) italiano

di Matteo Flora - Dall'interno di OWASP Day 2 il resoconto completo di una giornata interamente dedicata alle nuove problematiche di sicurezza per le applicazioni web, e alla sicurezza del software in Italia

Roma - Il 31 Marzo nella capitale il panorama della Web Security italiana ha visto in OWASP Day 2 una delle sue massime espressioni. Non solamente esperti italiani, ma esperti di tutto il mondo sono arrivati a ROma per discutere non solamente di tecnicismi e non solamente di procedure, non solamente di visioni Enterprise e non solamente di tecniche di Penetration Testing. Se un aggettivo può essere usato per l'evento, quello è sicuramente onnicomprensivo: sono stati sviscerati problemi e si sono posti interrogativi su molti piani, una collaborazione di competenze ed una unione di mondo veramente peculiare e non certo normale nel panorama della Information Security.

OWASP (The Open Web Application Security Project) è un'organizzazione internazionale che si occupa di rilasciare documentazione, linee guida e tool per la Web Application Security. L'iniziativa è animata da migliaia di professionisti sparsi in tutto il mondo; il materiale prodotto è liberamente fruibile sul sito con licenza Creative Commons Attribution ShareAlike per il portale wiki e licenze open source per il materiale pubblicato. Attualmente vi sono più di 100 capitoli (Chapters) sparsi in tutto il mondo con lo scopo di promuovere l'iniziativa e di discutere delle tematiche di Web Application Security localmente nei vari paesi.

E le tematiche sono state sicuramente analizzate nell'evento, organizzato in collaborazione con l'Università La Sapienza, dal titolo "The State of the Art of the Web Application Security and the OWASP guidelines in the Companies". Un evento di una giornata intera in cui si sono discusse le nuove problematiche di sicurezza per le applicazioni web e di come implementare un ciclo di vita del software con i controlli di sicurezza per le realtà italiane.
E non che la divulgazione sia l'unica delle attività di OWASP: attualmente i progetti implementativi facenti capo all'organizzazione e di respiro internazionale sono ben più di uno, tra cui:
- la guida per lo sviluppo sicuro (OWASP Building Guide);
- la guida per il test degli applicativi web (OWASP Testing Guide), lo standard mondiale di metodologia di PenTesting su Web Application a cui ho avuto l'onore ed il privilegio di partecipare come Reviewer.

Certo, con una buona dose di campanilismo non bisogna dimenticare che OWASP ha una fortissima anima italiana e che tra i progetti sponsorizzati spiccano gli italianissimi:
- il tool di analisi statica del codice (OWASP Orizon) di Paolo Perego;
- il tool per l'analisi di sicurezza delle applicazioni Flash (OWASP SWF Intruder) di Stefano Di Paola.

Inoltre partecipano al Summer of Code di quest'anno parecchi altri progetti italiani, come ad esempio:
- il tool di analisi del codice (CodeCrawler) di Alessio Marziali

Vi erano, insomma, tutti i presupposti per una giornata sicuramente interessante e la scelta dell'Italia come location non deve assolutamente fare pensare ad un evento in sordina.
2 Commenti alla Notizia La Web Application Security parla (anche) italiano
Ordina