Bit a bit, si cresce sempre


Blog di un ingeformatico
Home Blogs | Home | Login | Contact | My Profile | RSS | About | Cerca

Libro Sicurezza del codice (Hoepli)

Come già accaduto altre volte, questa non è una vera e propria recensione. Per un paio di weekend mi sono letto parzialmente questo libro, in quanto mi aveva incuriosito il sottotitolo (“Guida alla scrittura di software sicuro”) e volevo vedere cosa poteva insegnarmi e soprattutto migliorarmi nella mia attività quotidiana di sviluppatore. Il fatto poi di essere in italiano e scritto da un autore italiano hanno fatto poi il resto. Dico subito che sui 12 capitoli complessivi di questo libro, mi 
Leggi tutto il post...
Categoria: Books
lunedì, 02 feb 2009 Ore. 08.53

Scrivi un commento

Nome:
Blog:
E-Mail:
(l'indirizzo e-mail non verrà pubblicato, consente di essere avvertiti quando arrivano nuovi commenti a questo Post)
Codice:
Corpo:
Cookie:

Commenti

Autore: Alessandro SinibaldiInviato il: 04 feb 2009 - 09.35
Buongiorno, prima di tutto desidero ringraziarla per le sue obiezioni. E' sempre utile per un autore avere dei ritorni dai propri lettori.
Il libro è stato concepito, come lei ha correttamente fatto notare, come un punto di accesso agli argomenti (tanti) trattati, non potendo fisicamente parlare di così tante cose in modo dettagliato e prolungato e considerato il fatto che ognuno dei capitoli, in realtà, richiederebbe libri e libri.
Il capitolo su .NET, tanto per fare un esempio, raccoglie una trentina di pagine a fronte di decine di libri dedicati all’argomento e presenti sul mercato.
Più che un libro che va in verticale sui singoli argomenti ( ed è per questo che si chiama “Sicurezza del codice” e non “Sicurezza in .NET” o “Sicurezza in Java” ecc.), è un libro che va in orizzontale. Cerca di affrontare il problema della sicurezza del codice a tutto tondo, nell’intero ciclo di vita e nelle varie manifestazioni presentate dai vari linguaggi.
Il tipo di lettore a cui è orientato non è tanto quello che è interessato al singolo linguaggio e che, effettivamente, rischia di spendere per leggere di fatto solo 4 capitoli. Per chi ha questo tipo di interesse, esistono libri dedicati e specifici ai singoli linguaggi e con costi variabili tra i 30 e i 50 euro.
Il lettore a cui questo libro è orientato è una persona interessata all’argomento della sicurezza applicativa a tutto tondo, che si trova magari a fare security assessment o penetration test in realtà anche complesse e con applicativi scritti in diversi linguaggi e che deve, quindi, sapere un pò di tutto, ed essere in grado di andare nel dettaglio laddove serva. Per una persona del genere, il libro può costituire una lettura iniziale e un prontuario di consultazione.
Il punto di forza, sempre che ve ne sia uno, di questo libro è proprio questo e, a quanto mi risulta, non esistono sul mercato libri analoghi con tale ampio respiro e vastità di argomenti trattati.

Il primo capitolo, e anche altri, come da lei correttamente rilevato, affronta argomenti che sono spesso più di competenza di un analista o di un project manager che si trovano a dover assemblare un team di sviluppo e a dover utilizzare delle metodologie.
Le dò pienamente ragione sui link a fine capitolo. Non ho potuto fare altrimenti, purtroppo, e ho comunque pensato che era sempre meglio metterli che non metterli. Capisco perfettamente comunque il suo disagio nel doverli digitare per intero ogni volta. D’altronde, il valore aggiunto di una sitografia è quello di poter consultare le fonti direttamente su internet e gratis, al contrario di una bibliografia vera e propria, che l’avrebbe invece costretta ad andare in libreria a spendere altri soldi per comprare ulteriori libri. Il prezzo da pagare è la digitazione di URL, purtroppo talvolta anche lunghi.
Il capitolo sui test vuole essere un excursus, un prontuario, e comunque, almeno nella mia limitata conoscenza del mercato librario, uno dei più completi in circolazione.
Sono anche d'accordo sulla mancanza di un glossario. L'idea di metterlo originariamente c'era ed è stato alla fine sacrificato per mancanza di tempo.
Spero comunque che non sia stata un'esperienza eccessivamente deludente e la ringrazio in ogni caso delle sue utili osservazioni. Mi auguro che proseguirà comunque nella lettura dei restanti capitoli.
Autore: Alessio MarzialiInviato il: 04 feb 2009 - 11.53
Aggiungo 5 note.

1) La sicurezza "a tutto tondo" non esiste ed il termine non ha senso.

2) Una persona non puo' far un pen test utilizzando semplicemente un libro. E sopratutto un pen tester NON e' una persona "che deve sapere un po di tutto". Questa mentalita' totalmente sbagliata e palesemente italiana non porta e non portera' da nessuna parte.

3) Un titolo come "Introduzione alla sicurezza del codice" sarebbe stato sicuramente piu' sincero.

4) "affronta argomenti che sono spesso più di competenza di un analista o di un project manager che si trovano a dover assemblare un team di sviluppo e a dover utilizzare delle metodologie." - Che c'entra con un argomento come "la sicurezza del codice"?

5) "Il capitolo su .NET, tanto per fare un esempio, raccoglie una trentina di pagine a fronte di decine di libri dedicati all’argomento e presenti sul mercato."

Sono sempre a favore sul rilascio e pubblicazione di nuovi libri specialmente sulla sicurezza; l'importante e' comunque capire la responsabilita' che si ha quando si scrive un libro con un titolo del genere.

I fritti misti non vanno piu' e le persone hanno bisogno di capire cosa e' la sicurezza "VERAMENTE". Prendere pezzi qui e li non lo trovo molto sensato.
Autore: Alessandro SinibaldiInviato il: 04 feb 2009 - 12.14
Rispondo puntualmente:

1) uno dei concetti più importanti in sicurezza è quello di "defense in depth". La sicurezza richiede un approccio multilivello e deve riguardare tutti gli aspetti, gli applicativi e i sistemi di un'organizzazione. Più cose hai e più aumenta la tua superficie di attacco. Basta una sola cosa che vada storta per comprometetre anni di lavoro.

2) l'attività di un pen tester è estremamente complicata e deve partire comunque da una cultura di base ampia. Quando si fa un assessment di vulnerabilità o un penetration test non ci si deve solo limitare a controllare "ciò che si conosce" o si sa. Per questo spesso, soprattutto in realtà importanti, ci sono dei team di persone con skill diversi che vanno in profondità su argomenti diversi pur mantenendo una conoscenza globale comune dell'argomento sicurezza.

3) un libro di quasi 400 pagine su questo argomento non può che essere introduttivo. I titoli si scelgono anche per esigenze di marketing e comunque chiunque può liberamente visionarlo in libreria e decidere se acquistarlo o meno.

4) l'approccio alla sicurezza del codice inizia, come tutte le metodologie insegnano, fin da quando si mette in piedi il gruppo di persone che parteciperanno al progetto, di cui lo sviluppo del codice vero e proprio è spesso solo un aspetto. Tutti e dico tutti devono conoscere almeno gli aspetti di base della sicurezza. Nei progetti moderni ormai si lavora in gruppo.

5) il libro non è un fritto misto. Si propone come un testo in cui si dà un'idea di molti argomenti e si invita a scendere in profondità quando serve. L'obiettivo è quello di dare una cultura di base e comunque, mi si permetta, è molto più difficile fare un libro così che non su un argomento solo. Avere gli skills necessari per parlare di tante cose così diverse tra loro non è una cosa semplice. Se così non fosse, si vedrebbero più libri del genere in circolazione. Non si tratta di prendere pezzi qua e là. Mi sono spesso basato sulla mia esperienza lavorativa personale per spiegare, scremare e riassumere.
In ogni caso, se uno vuole un libro che parli solo di un argomento in profondità, ce ne sono in abbondanza.

Il libro è disponibile in tutte le librerie. Aldilà di ciò che uno pensa o di come vorrebbe il suo libro "ideale", dargli un'occhiata non costa niente. Io non compro mai niente a scatola chiusa, soprattutto i libri. Se poi uno pensa che non sia ciò che sta cercando, va benissimo e amici come prima.
Autore: gianmarco castagnaInviato il: 21 feb 2010 - 15.37
ciao interessanti tutti i commenti ero interessato anch'io a .net e colgo l'occasione per per sapere se qualcuno è a conoscenza di tecniche di offuscamento efficaci ad esempio che resistano a salamandra e non comportino l'avvolgere l'eseguibile .net in uno c++ che attualmente mi sembra l'unica tecnica efficace http://ocr.altervista.org/wordpress/net-tips-tricks/ (securing assembly) ,grazie ciao
Copyright © 2002-2007 - Blogs 2.0
dotNetHell.it | Home Page Blogs
ASP.NET 2.0 Windows 2003