SDL, documentazione e tools

A questo punto del progetto dovreste aver pronto un prodotto con pochi bugs e un pò di tools che avete creato per testare il vostro software (o che magari avevate già).

Affinchè il vostro cliente utilizzi in maniera corretta l'applicativo, dovremo rilasciare un pò di documentazione affinchè possiamo rendere noti le scelte fatte per rendere il software sicuro.

Setup documentation

E' il tipo di documentazione dove andremo a scrivere informazioni quali:
quale porta e quale protocollo utilizzeremo, perchè le utilizziamo, su che tipo di restrizioni di accesso deve avere la nostra applicazione, che restrizione dovremmo avere nella subnet.

Si continuerà con evidenziare quali sistemi operativi possono supportare il nostro applicativo e perchè.

Ad esempio, se registriamo dei dati sensibili ed utilizziamo un servizio di crittografica dobbiamo renderlo noto all'amministratore.

Mainline Product Use Documentation

Chiamatelo pure User Manual.

Quì annoteremo informazioni come i pericoli che si possono incorrere se abilitiamo una feature che di default è disabilita. Specificando perchè è disabilitata, cosa bisogna fare per abilitarla e cosa fare, comunque, per ridurne i rischi.

Non aver paura di dire chiaramente qual'è il punto debole dell'applicazione

Si consiglia anche di indicare, in un sol punto, l'elenco di tutte le miglior soluzioni per rendere il software più sicuro.

Help Documentation

Solitamente è meglio inserirla all'interno dell'applicazione stessa.
Si pigia <F1> è l'utente può subito venir a conoscenza di informazioni riguardanti il task su cui sta operando.

Developer Documentation

Se rilasciate API o un framework è utile includere informazioni riguardo la sicurezza dei metodi sviluppati e come utilizzarli nella miglior maniera.

Alcune di queste informazioni vengono rilasciare anche dal compilatore nella vostra finestra di build (provate ad usare dei metodi C++ come: sprintf, scanf, etc)

Creating tools

Creare dei tools di sicurezza e' il massimo aiuto che possiamo dare ai nostri clienti.

Pensate quanto Microsoft sta investendo in questo campo.

Conclusione

Ricordiamoci di specificare tutto il più chiaramente possibile e nella maniera più sintetica.
Una lunga documentazione non verrà mai letta anche se ben realizzata.

 

 

Tags:

XSSDetect Public Beta

Oggi sono venuto a conoscenza di questo utile tools che analizza i vostri progetti
ASP.NET, alla ricerca di Cross-Site Scripting (XSS), si integra perfettamente con
VS 2005.

Per scaricarlo cliccate quì.

Tags: |