Best of SSL Sircle in 2023
[Versione italiana di seguito]
The main goal of the SSL sircle is to help companies in seamless integrate security in software development, from the initial design phase throughout the entire development lifecycle.
We initially started this process internally, working with our Sorint's developer teams and during the last year we were able to introduce several workflows and tools that aim to reduce vulnerabilities in software development, such as:
-
When a new projects starts, perform threat modeling to identify and mitigate possible threats and security risks.
-
Introduce several security tools within the CI/CD pipeline to find and fix flaws in source code before releasing the application to production (SAST and SCA tools).
-
Create custom SAST rules to identify bugs and security issues for specific applications.
-
Perform source code security review to spot complex bugs and provide feedback to dev team in order to fix the issues.
-
Organize workshops about secure coding and other activities (like Capture-The-Flag challenges) in order to help dev team to build a "security mindset" and to raise awareness about security in software development.
We also started few partnerships with vendors that build SAST and SCA tools, so that in future we can provide to customers the tool that better fits their needs.
Written by the sircle's reporter: Luca Famà
L'obiettivo principale del Sircle SSL è quello di aiutare le aziende a integrare la sicurezza nello sviluppo del software, dalla fase iniziale di progettazione all'intero ciclo di vita dello sviluppo.
Inizialmente abbiamo avviato questo processo internamente, lavorando con i team di sviluppatori di Sorint e nel corso dell'ultimo anno siamo riusciti a introdurre diversi flussi di lavoro e strumenti che mirano a ridurre le vulnerabilità nello sviluppo del software, come ad esempio:
-
Quando inizia un nuovo progetto, eseguire la modellazione delle minacce per identificare e mitigare le possibili minacce e i rischi per la sicurezza.
-
Introdurre diversi strumenti di sicurezza all'interno della pipeline CI/CD per trovare e correggere le falle nel codice sorgente prima di rilasciare l'applicazione in produzione (strumenti SAST e SCA).
-
Creare regole SAST personalizzate per identificare bug e problemi di sicurezza per applicazioni specifiche.
-
Eseguire la revisione della sicurezza del codice sorgente per individuare bug complessi e fornire un feedback al team di sviluppo per risolvere i problemi.
-
Organizzare workshop sulla codifica sicura e altre attività (come Capture-The-Flag sfide) per aiutare il team di sviluppo a costruire una "mentalità di sicurezza" e a sensibilizzare il pubblico sulla sicurezza nello sviluppo del software.
Abbiamo anche avviato alcune partnership con fornitori che costruiscono strumenti SAST e SCA, in modo da poter fornire in futuro ai clienti lo strumento più adatto alle loro esigenze.
Scritto dal reporter del sircle: Luca Famà