3 azioni da fare subito senza costi per lo sviluppo sicuro del codice

Posted by Massimo Manara on Jun 30, 2021 12:00:00 AM

Cosa puoi fare da subito per migliorare gli sviluppi nei tuoi sistemi (non solo SAP)?

Controllo del codice

Come è possibile controllare subito il codice sviluppato evitando di dover metterci mano a seguito? Con costi molto più alti.

1 - Contratti di fornitura

Senza alcuna condizione, nel caso di sviluppi chiesti all'esterno, è difficile controllare e richiedere appunto delle "garanzie" di qualità e sicurezza del codice sviluppato.

 

In caso di nuove forniture o rinnovi valuta l'inserimento di condizioni contrattuali specifiche e riservati il diritto di controllare anche a seguito il codice sviluppato.

 

Oppure definisci delle regole minime. Due esempi tra i più ricorrenti?

  • Evita hard-coded
  • Controllo dell'input utente

 

Leggi qui quali sono gli altri casi comuni di problematiche nel codice, in particolare SAP.

 

2 - Cosa puoi fare in SAP da subito?

Attiva le funzionalità standard di controllo della sicurezza e qualità del codice sviluppato.

 

Puoi usare il Source Code Inspector (transazione SCI) e chiedere al team di sviluppo di basare i controlli su quello.

 

Qui puoi trovare un documento utile sviluppato da AGID (Agenzia per l'Italia Digitale) sulle linee guida di sviluppo sicuro del codice nella pubblica amministrazione (Linee guida per lo sviluppo del software sicuro)

 

Ma è meglio un team di sviluppo interno oppure esterno?

 

3 - Valuta delle soluzioni di controllo automatico del codice

Purtroppo, è molto difficile riuscire a dare delle regole a sviluppatori (ed a controllarle), soprattutto se si sviluppa in molti linguaggi, in contesti dove molti gruppi e fornitori potrebbero lavorare su molti progetti.

 

Diventa quindi fondamentale avere uno strumento che i fornitori oppure gli sviluppatori interni possano utilizzare per controllare, se possibile in real-time, il codice sviluppato. Soprattutto per quanto riguarda le vulnerabilità.

 

Quanto sviluppi? Dove ed in quale linguaggio?

 

  • Gli sviluppi sono principalmente in SAP oppure su altre piattaforme? In quale linguaggio di programmazione? Questo può essere uno dei driver per scegliere che tipo di software adottare
  • Che tipo di controllo vuoi fare? Real time oppure detective?
  • I fornitori si devono installare del software o meno?
  • L'eventuale software come si integra nel processo di sviluppo del codice? Ad esempio ci sono approvazioni?
  • Dove svilupperai e cosa? Applicazioni on-premise oppure Cloud?
  • Ma è possibile avere un servizio di AMS (AMS application management services secure coding) sulla sicurezza del codice? A nostro avviso si! Contattaci per avere ulteriori informazioni.

 

 

 

Topics: secure coding sap, sviluppo codice sicuro

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti