Articolo di Alessandro Bassano, CorCom
La sicurezza informatica, per Zte, è da sempre la massima priorità che applichiamo alla R&S dei prodotti e alla fornitura di servizi. Per soddisfare tale presupposto Zte lavora in collaborazione con partner all’avanguardia nell’ambito della Cybersecurity, per introdurre nuove metodologie e perseguire il miglioramento continuo.
L’ecosistema delle telecomunicazioni è composto da vari ruoli unici e insostituibili, proprio come gli sviluppatori, i pentester e tutti quelli che collaborano al fine di irrobustire la sicurezza del codice sorgente – una rete sicura richiede che tutti gli attori collaborino per innalzare il livello della sicurezza informatica.
Nelle reti di ultima generazione (5G), i componenti sono composti da apparecchiature hardware e risorse software, controllati dal codice sorgente – scritto dagli sviluppatori – per supportare la trasmissione dati e la comunicazione di rete. Software Defined Networks (Sdn), Network Function Virtualization (Nfv), network slicing, e alcune altre innovazioni del 5G sono il risultato del codice sorgente.
Il codice sorgente, elemento fondamentale di un programma, creato dai “code developers”, contiene diversi comandi, istruzioni, variabili, commenti, loop etc, può essere sia proprietario che aperto, e molto spesso gli accordi di licenza riflettono proprio questa distinzione.
Per individuare le vulnerabilità della sicurezza, le pratiche di codifica non sicure “unsecure coding” oppure i difetti della logica di programmazione, le aziende dovranno prestare maggiore attenzione a questo importante argomento, in modo da riuscire a mitigare e ridurre i rischi per la sicurezza e supportare al meglio le funzioni aziendali critiche.
In questo contesto, la “source code review” è una best practice per garantire la sicurezza informatica del software, ed è ampiamente adottata e praticata da molti fornitori/produttori di software/firmware. Sulla base della Cert Specification and Common Weakness Enumeration (Cwe), Zte ha sviluppato una serie di “Secure Coding Specification” come una propria pratica comune di revisione del codice sorgente ancora più rigida e rigorosa che viene utilizzata come misura obbligatoria per rilevare e mitigare i rischi dei propri prodotti.
Tra le metodologie di test delle “White box”, la revisione del codice sorgente viene, sovente, utilizzata per identificare le vulnerabilità delle aree in cui le tecniche di test delle “Black Box”o delle “Grey Box” sono difficili da applicare o quando non si riescono a identificare i problemi dovuti, ad esempio, a pratiche di codifica non sicura, problemi di crittografia, eccezioni improprie, situazioni di errore non gestite, potenziali problemi logici etc.
La revisione del codice sorgente pone l’attenzione sui principi di implementazione del codice e sui dettagli di implementazione all’interno del programma. Un tale approccio è adatto a una revisione completa del codice, specialmente per quanto riguarda difetti e anomalie che possono presentarsi in scenari anomali tipo attacchi o altro. Inoltre, combinata con i “Penetration Test”, può coprire efficacemente la quasi totalità delle vulnerabilità delle applicazioni – un aspetto che è particolarmente rilevante quando si tratta di tecnologie in rapido sviluppo come il 5G.
No comment yet, add your voice below!