IppatsuBlog

Tomas Ptacek, membro del team di Matasano Security, ha pubblicato sul blog della sua compagnia un bel post sulla sicurezza per sviluppatori indipendenti: i primi 12 passi da compiere per un software sicuro. Potete leggere l’articolo completo qui.

In brevissimo (la lettura dell’articolo è obbligatoria):

1. preoccuparsi di meno: bisogna avere un prodotto funzionante e con un mercato prima di potersi occupare della sicurezza;
2. essere coscienti del fatto che bisogna gestire i bug di sicurezza – e risolverli non è una “feature” per una versione successiva del software;
3. gestire la memoria è difficile, gestire gli input degli utenti è difficile: tutto l’input deve essere controllato e sanitizzato;
4. non inventarsi soluzioni “fai da te” per problemi noti (memorizzazione password, comunicazioni criptate);
5. un po’ di security through obscurity può servire come piccolo ostacolo per allontanare una grossa porzione di attaccanti poco esperti;
6. eseguire fuzzing;
7. non ritenere che il codice sia “proprietario” in nessun caso.

E altro ancora. Una lettura consigliata a chi voglia iniziare a scrivere software per sapere come avere buone fondamenta senza essere esperti di sicurezza.