I controlli OWASP sul codice

Sei uno sviluppatore? Hai un’azienda informatica che si occupa di sviluppo software? O magari sei un consulente privacy. Ecco, se rientri in una delle categorie appena elencate, sei sicuramente una delle poche persone ad aver sentito nominare l’acronimo OWASP.

Ma andiamo con ordine.

Cos’è l’OWASP?

L’Open Web Application Security Project è un progetto open-source nato nel 2001 con lo scopo di diffondere la cultura della qualità del codice nelle fasi di sviluppo di un software. Negli anni, la community OWASP ha prodotto articoli, metodologie, documenti e tool per supportare gli sviluppatori nella realizzazione di software e applicazioni sicure.

I quattro controlli principali su cui si basa il metodo OWASP sono:

  • La scansione automatica delle vulnerabilità;
  • Il penetration testing di un applicativo;
  • L’analisi statica del codice;
  • La revisione manuale del codice.

I controlli OWASP sul codice sono annoverati tra le best practice riconosciute a livello internazionale nell’ambito della prevenzione di vulnerabilità di sicurezza e, se applicati correttamente, possono ridurre di molto il rischio di data breach (violazioni dei dati) causati da eventuali incidenti informatici favoriti dalla scarsa qualità del codice di software e applicazioni.

L’adozione dei controlli OWASP però, oltre a essere considerata una best practice facoltativa, in alcuni contesti sta progressivamente diventando un requisito obbligatorio. L’entrata in vigore del GDPR ha accelerato questo processo.

Ma quali sono i rapporti tra OWASP e GDPR?

Il GDPR, Regolamento UE 2016/679 relativo alla privacy e alla protezione dei dati personali, fra i vari adempimenti, richiede alle aziende di:

  • Adottare i principi di “Privacy by Design” e “Privacy by Default”. In pratica, non si dovrebbe “lanciare” un nuovo prodotto o un nuovo servizio se non conformi al GDPR fin dalla fase di progettazione;
  • Adottare le adeguate misure di sicurezza al fine di prevenire il rischio di violazione dei dati.

Per questo motivo, sempre più organizzazioni che esternalizzano la realizzazione di software o affidano a terzi trattamenti informatici di dati personali, richiedono ai loro fornitori o Responsabili del trattamento di adottare e documentare l’adozione dei controlli OWASP sul codice.

Anche l’AGID, l’Agenzia per l’Italia Digitale, al fine di rilasciare alle aziende le qualificazioni per Saas (Software as a Service) e CSP (Cloud Service Provider), necessarie a offrire servizi informatici alle pubbliche amministrazioni, richiede agli attuali (o futuri) fornitori della PA di eseguire i controlli OWASP sul codice.

Forse se stai leggendo questo articolo, è proprio perché un tuo cliente o l’AGID ti hanno richiesto di eseguire i controlli OWASP e hai deciso di cercare maggiori informazioni su internet.

Controlli OWASP sul codice, rivolgiti ad Argo

Argo può supportare la tua azienda nell’applicazione delle best practice OWASP, utilizzando appositi tool e producendo la documentazione che attesta il superamento dei test.

Scrivici una mail, trasmettici una richiesta tramite il nostro form dei contatti o telefonaci. Il superamento dei test OWASP renderà il tuo codice più sicuro e la tua azienda sarà percepita come affidabile da clienti e pubblica amministrazione.