Nessun risultato trovato

La tua ricerca non ha prodotto risultati

Analisi e test della sicurezza

Panoramica

Il test della sicurezza del codice Oracle include attività operative e non operative condotte per verificare le funzionalità e la qualità del prodotto. Sebbene questi tipi di test siano spesso indirizzati a funzionalità comuni a più prodotti, hanno obiettivi indipendenti e vengono condotti da team diversi. I test della sicurezza operativi e non operativi si completano a vicenda per offrire la copertura completa della sicurezza dei prodotti Oracle.

Test della sicurezza operativo

Il test della sicurezza operativo viene generalmente eseguito dai tradizionali team del controllo qualità come parte di un normale ciclo di test dei prodotti. Durante questo test, i tecnici del controllo qualità verificano la conformità delle funzionalità di sicurezza implementate rispetto a ciò che era stato precedentemente stabilito nelle specifiche operative durante il processo di revisione dell'architettura e della lista di controllo.

Analisi e test della garanzia di sicurezza

Le analisi e i test della garanzia di sicurezza verificano le qualità dei prodotti Oracle rispetto a vari tipi di attacchi. Esistono due grandi categorie di test impiegate per il test dei prodotti Oracle: analisi statiche e analisi dinamiche, illustrate più dettagliatamente nelle sezioni seguenti. I team dei prodotti Oracle utilizzano entrambi i test poiché si inseriscono nel ciclo di vita dello sviluppo in modo diverso e tendono a individuare categorie di problemi diverse.

Analisi statica

L'analisi statica della sicurezza condotta sul codice sorgente è la linea di difesa iniziale utilizzata durante il ciclo di sviluppo dei prodotti. Oracle utilizza un analizzatore di codice statico fornito da Fortify Software, azienda di HP, e una varietà di strumenti sviluppati internamente per individuare i problemi durante la scrittura del codice. I prodotti sviluppati nei linguaggi di programmazione (come C/C++, Java e C#) e nelle piattaforme (J2EE e .NET) più moderni vengono scansionati per individuare potenziali problemi di sicurezza. Questo tipo di controllo è molto efficace per individuare flussi eccessivi di buffer e perdite di memoria nel codice C/C++, problemi di gestione delle risorse in J2EE e .NET, errata gestione delle credenziali, injection di vario tipo, errate configurazioni del sistema e così via. Uno degli svantaggi di questo tipo di analisi è l'elevato livello di report falsi positivi, ovvero il fatto che molte delle voci riportate non costituiscono un vero problema. Generalmente, l'analisi di questi report di scansione coinvolge i tecnici senior dei team di prodotto, i quali conoscono bene il codice del prodotto e separano i falsi positivi dai problemi reali, riducendo così il numero di falsi positivi.

Analisi dinamica

L'attività di analisi dinamica viene svolta sempre durante le fasi finali dello sviluppo del prodotto: quantomeno, il prodotto o il componente deve poter essere eseguito. Sebbene possa variare tra le diverse organizzazioni Oracle, generalmente tale attività viene gestita da un team del controllo qualità della sicurezza (o gruppo dedicato simile) e potrebbe essere condivisa da più team di prodotto. L'analisi dinamica è rivolta ad API e interfacce di prodotto visibili esternamente e spesso si basa su appositi strumenti per il test. Per il test in Oracle si utilizzano sia strumenti manuali sia strumenti automatici. Gli strumenti automatici impiegano tecniche basate su dati casuali per il test dei protocolli e delle interfacce dei prodotti accessibili dalla rete, mentre gli strumenti manuali richiedono di apportare le modifiche manualmente ma offrono maggiore accuratezza e precisione.