La sicurezza del software non si genera da sola. Richiede la costante applicazione di metodologie in tutta l'organizzazione: metodologie in linea con le politiche, gli obiettivi e i principi stabiliti. L'obiettivo è produrre un codice sicuro: Oracle richiede che in ogni area dello sviluppo vengano rispettati i principi di codifica di sicurezza che sono stati stabiliti e comunicati e su cui il personale è stato formato.

Elevate garanzie di sicurezza in ogni fase

Per assicurare che i prodotti Oracle siano sviluppati costantemente con elevate garanzie di sicurezza e che gli sviluppatori evitino errori di codifica comuni, Oracle impiega standard di codifica di sicurezza formali.

Gli standard di codifica di sicurezza Oracle rappresentano una roadmap che guida gli sviluppatori nel loro lavoro di produzione di codice sicuro. Trattano le generali aree di conoscenza della sicurezza, come i principi di progettazione, le vulnerabilità comuni e così via, e forniscono linee guida specifiche su argomenti come la convalida e la privacy dei dati, la CGI, la gestione degli utenti e altro ancora.

Tutti gli Oracle Developer devono conoscere bene questi standard e applicarli durante la progettazione e la realizzazione dei prodotti. Gli standard di codifica sono stati sviluppati in diversi anni e integrano le best practice e le lezioni apprese attraverso test continui delle vulnerabilità condotti dal team interno di valutazione dei prodotti Oracle. Oracle si assicura che gli sviluppatori conoscano bene gli standard di codifica richiedendo loro di seguire una formazione sulla codifica di sicurezza. Gli standard di codifica di sicurezza sono un componente chiave di Oracle Software Security Assurance e il rispetto degli standard viene valutato e convalidato per tutto il ciclo di vita utile dei prodotti Oracle.

Natura dinamica degli standard di codifica di sicurezza

Gli standard di codifica di sicurezza Oracle sono stati modificati ed estesi nel corso del tempo per coprire i comuni problemi che interessano il codice di Oracle, gli insight e le lezioni apprese, le nuove minacce non appena vengono scoperte e i nuovi casi d'uso dei clienti di Oracle. Gli standard di codifica di sicurezza non rappresentano un elemento isolato e nemmeno un'aggiunta a fatto compiuto allo sviluppo del software. Sono invece parte integrante degli standard specifici dei linguaggi come C/C++, Java, PL/SQL e altri e rappresentano un pilastro fondamentale per i processi e i programmi Oracle Software Security Assurance.

L'importanza della formazione degli sviluppatori

Nel corso degli anni, Oracle ha sviluppato internamente una formazione basata sugli standard di codifica di sicurezza. Oracle fornisce su base continua questo tipo di formazione alla sua organizzazione di sviluppo dei prodotti, che include sviluppatori ma anche responsabili dei prodotti, responsabili delle release e personale addetto alla garanzia di qualità. La formazione non si limita ai singoli collaboratori: anche i manager, fino ai vice presidenti compresi, devono seguire corsi di formazione sulla codifica di sicurezza. La formazione continua garantisce che gli sviluppatori conoscano bene tutti gli aspetti della codifica di sicurezza e che comprendano che Oracle segue standard elevati per la realizzazione di prodotti di qualità.