Il 01/04/2015 10.02, Giuseppe Paternó ha scritto:
Volevo sapere se qualcuno di voi ha usato dei tools di controllo automatico del codice per ricerca di eventuali problemi di sicurezza e se si quali. L'idea era di costringere a mettere questi check all'interno di processi di continuous integration. Ci sono troppi linguaggi in ballo, ma volevo coprire almeno java e python.
Abbiamo utilizzato Coverity per il controllo di codice C++. Non sono stato coinvolto in prima persona, ma so che uno dei problemi iniziali è stato l'enorme numero di falsi positivi, con conseguente lavoro di adattamento alla specifica base di codice. Un'altro tipo di security check, non so se interessante in questo contesto, che abbiamo utilizzato è ZAproxy: https://code.google.com/p/zaproxy/wiki/SecRegTests Ad ogni commit, Jenkins si occupa di lanciare un web server su cui gira il codice da testare e far partire ZAP puntandolo a quel web server. L'idea è di testare l'applicazione per le classiche vulnerabilità tipo XSS, CSRF, ecc... Anche qui, in pratica non ci si può aspettare risultati rilevanti senza adattamenti all'applicazione specifica. -- Cosimo ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
