post auditing o auditing parallelo was (Re: Debian va contro il suo cont

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Gennaio 2002 ml@sikurezza.org
Soggetto: post auditing o auditing parallelo was (Re: Debian va contro il suo contratto)
Mittente: yaroze
Data: 25 Jan 2002 19:16:33 -0000

On Thu, 24 Jan 2002 00:37:14 +0100
antirez <antirez@invece.org> wrote:

[snip]
> 
> Concordo, la mia parafrasi e':
> 
> ogni aggiunta di codice e' una aggiunta di bachi, in maniera
> proporzionale alla quantita' del codice e alla complessita'
> con la quale le diverse parti di questo interagiscono. Da questo
> due banali ma spesso non osservate regole:
> 
> non mettere mai codice che non e' davvero necessario in una
> applicazione che vuole essere sicura
> 
> rendere l'applicazione una serie di moduli con una interfaccia
> definita che interagiscono tra loro in maniera piu' semplice
> possibile
> 
> Siete d'accordo?

come non esserlo... 
oltre che aiutare dal punto di vista della sicurezza aiuterebbe anche nel momento dello sviluppo (che potrebbe essere facilmente parallelizzato) e rispetterebbe numerosi paradigmi di "Qualità" :)
ma il problema spesso risiede in quel "più semplice possibile" in quanto spesso l'interazione più semplice non è necessariamente la più evidente, ne la prima a cui si pensa.

> 
> Mentre ci sono volevo chiedere qual'e', a vostro avviso, il
> miglior modo per fare un security auditing di codice nuovo.
> Secondo voi e' meglio scrivere tentando di non fare errori
> e fare un security auditing finale prima di rilasciare la
> prima versione per il pubblico o fare l'auditing in maniera
> parallela allo sviluppo?
> 
> In teoria, se applicati bene, ambedue gli approcci dovrebbero
> funzionare, ma ho la sensazione che il secondo (auditing parallelo)
> sia uno spreco di risorse.

Non penso che l'auditing parallelo sia necessariamente uno spreco di risorse...
Credo che comunque la scelta di uno o l'altro approccio dipenda piuttosto dal tipo di development che stai seguendo (Maquettage/Prototipage, incremental, Cycle en V... scusate, non ho nessuna idea di come si dica in italiano, se qualcuno lo sa e me lo comunica mi farebbe sentire meno handicappato).

questi sono giusto i miei due centesimi di dinaro sudanese :)

abbracci,

-- 
let's the karma confinated in untangible sphere of your existence
./yaroze

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Re: Debian va contro il suo contratto, Samuele Giovanni Tonon
- Re: Debian va contro il suo contratto, Marco Ivaldi
- Re: Debian va contro il suo contratto, antirez

Data:
- precedente: Re: per i relatori di infosecurity, Marco Ivaldi
- successivo: exchange 5.0 -relay not allowed-, cicos dammo
- indice

Argomento:
- precedente: Re: Debian va contro il suo contratto, vecna
- successivo: Re: Debian va contro il suo contratto [Auditing sicurezza sullo sviluppo di applicativi], Fausto Pasqualetti
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005