EMBEDDED

MAGGIO

74

SOFTWARE

|

SAFETY&SECURITY

S

À

')H#+ À

sottoinsieme del linguaggio di destinazione. Questo

evita o limita l’utilizzo di funzioni e costrutti che

potrebbero portare ad un comportamento non de-

À

À %

In genere sono scoraggiate

pratiche come tollerare la presenza di dead code o

G

8 À %

G

À

integrità tendono a far rispettare le caratteristiche

che offrono un comportamento prevedibile. MISRA

C:2012, ad esempio, sconsiglia l’utilizzo di memo-

ria dinamica per il fatto che un uso improprio dei

servizi di libreria standard per gestire la memoria

G

-

À % F

-

vrebbe prestare particolare attenzione per evitare

esiti imprevedibili.

Sicurezza dell’applicazione (Application security)

I

HŠ6)E3 ‘// Œ //I À

-

bilire, implementare, mantenere e migliorare con

continuità un sistema di gestione della sicurezza

delle informazioni. È basato sul modello PDCA

(

), condiviso con tutti i princi-

pali standard di gestione. Valutazione del rischio

e analisi di impatto sul business vengono utiliz-

À

la riservatezza, l’integrità e la disponibilità delle

informazioni.

Uno sguardo più dettagliato sulla sicurezza dell’ap-

plicazione viene offerto da ISO/IEC27034:2011, che

À

-

zione dei controlli di sicurezza delle informazioni

attraverso processi integrati nel

dello svi-

luppo del sistema.

Come tale, esso non è uno sviluppo di applica-

zioni software standard, ma si basa su standard

esistenti. S

À

security-oriented, lo scenario è molto vario; si in-

À

3 3– •

come per Java, Perl, PL/SQL e altri. C’è un’am-

pia varietà di tecniche disponibili per valutare la

sicurezza del codice. Diversi problemi possono es-

sere rintracciati usando analisi statica, dinamica

Á ,

Á ,

tracking, taint analysis, analisi dell’eseguibile e

analisi euristica. Queste tecniche possono essere

À

e facili da attuare a seconda del supporto

esistente per la lingua selezionata, strutture inte-

grate, librerie, e così via.

Il punto di riferimento principale per la sicurezza

À @ 3E#?

À

tute-

la della sicurezza.

L

À 3E#?

8

À

dal common weaknesses enumeration (CWE). Il

CWE è un dizionario delle vulnerabilità sviluppa-

to da una intera comunità. L’elenco scaricabile dei

8 G

À

.

Il CWE è legato ad un più ampio insieme di vulne-

rabilità della sicurezza dei dati, noti pubblicamen-

te, conosciute come CVE (common vulnerabilities

and exposures), che è ora lo standard per la nor-

À

8%

-

À 32E

32E )"

punti di riferimento per lo scambio dati dei servizi e

prodotti per la sicurezza. Essi sono utili per analisi

À

À

8%

Il database nazionale delle vulnerabilità del NIST,

il depositario per il governo federale degli Stati

Uniti dei dati di gestione della vulnerabilità basati

su standard, contiene più di 73.000 CVE.

MISRA vs CERT

MISRA C:2012 e CERT C possono essere consi-

derati campioni della sicurezza e protezione per il

linguaggio C. Un sintetico raffronto è riportato in

tabella 1.

!"#$% '*

+

;

del software