Cosa puoi fare da subito per migliorare gli sviluppi nei tuoi sistemi (non solo SAP)?
Come è possibile controllare subito il codice sviluppato evitando di dover metterci mano a seguito? Con costi molto più alti.
Senza alcuna condizione, nel caso di sviluppi chiesti all'esterno, è difficile controllare e richiedere appunto delle "garanzie" di qualità e sicurezza del codice sviluppato.
In caso di nuove forniture o rinnovi valuta l'inserimento di condizioni contrattuali specifiche e riservati il diritto di controllare anche a seguito il codice sviluppato.
Oppure definisci delle regole minime. Due esempi tra i più ricorrenti?
Leggi qui quali sono gli altri casi comuni di problematiche nel codice, in particolare SAP.
Attiva le funzionalità standard di controllo della sicurezza e qualità del codice sviluppato.
Puoi usare il Source Code Inspector (transazione SCI) e chiedere al team di sviluppo di basare i controlli su quello.
Qui puoi trovare un documento utile sviluppato da AGID (Agenzia per l'Italia Digitale) sulle linee guida di sviluppo sicuro del codice nella pubblica amministrazione (Linee guida per lo sviluppo del software sicuro)
Ma è meglio un team di sviluppo interno oppure esterno?
Purtroppo, è molto difficile riuscire a dare delle regole a sviluppatori (ed a controllarle), soprattutto se si sviluppa in molti linguaggi, in contesti dove molti gruppi e fornitori potrebbero lavorare su molti progetti.
Diventa quindi fondamentale avere uno strumento che i fornitori oppure gli sviluppatori interni possano utilizzare per controllare, se possibile in real-time, il codice sviluppato. Soprattutto per quanto riguarda le vulnerabilità.
Quanto sviluppi? Dove ed in quale linguaggio?