Dal punto di vista formale, hai ragione "sarebbe meglio che". Il mio "DEVE" si riferisce a quelle aziende che si installano il sw open e lo riusano al loro interno ed in taluni casi lo rivendono all'interno di loro applicazioni. Lavorando come consulente in grandi aziende, constato che questi usi sono oramai all'ordine del giorno. Ed ecco il motivo per cui è necessario far analizzare il sw open da prodotti in grado di rilevare le istruzioni vulnerabili indicandone la correzione (inclusi anche come test di qualità). Opportunamente inserita nella fase iniziale dei test e prima del passaggio in ambienti di distribuzione, l'analisi statica del sw abbinata a test dinamici finalizzati alla valutazione della sicurezza perimetrale, alzano la garanzia di sicurezza. Purtroppo questa attività sul sw libero è stata poco utilizzata, soltanto ora s'intravvedono usi in organizzazioni strutturate o obbligate da direttive nazionali e sensibili ai danni di immagine, economici, ecc. Aldo -----Messaggio originale----- Da: Giacomo Tesio [mailto:giacomo@tesio.it] Inviato: lunedì 10 dicembre 2018 12:18 A: Aldo Pedico <a.pedico@teleion.it> Cc: Nexa <nexa@server-nexa.polito.it>; Alberto Cammozzo <ac+nexa@zeromx.net> Oggetto: Re: [nexa] Australia passes new law to thwart strong encryption Il giorno lun 10 dic 2018 alle ore 10:42 Aldo Pedico <a.pedico@teleion.it> ha scritto:
Gli articoli 25 e 32 del Reg. UE 2016/679 introducono, e questo lo ho dichiarato sia in rete sia nei convegni in cui mi è stato concesso di descrivere l'adeguamento tecnologico al GDPR, il principio della qualità del software conditio sine qua non al rispetto dell’articolo 1 della stessa legge.
Che cosa vuol dire? Vuol dire che il sw open source deve sottostare ai controlli di merito onde ridurre la presenza di istruzioni vulnerabili al suo interno (vedi std CWE SANS, PCI DSS, ecc.) e di conseguenza la probabilità che un evento malevolo possa verificarsi. E non solo! DEVE essere controllata anche la obsolescenza. Tali controlli devono essere svolti durante le fasi iniziali di sviluppo e di test nel ciclo di vita del software
"DEVE" è un po' forte, considerato che il software libero è distribuito WITHOUT WARRANTY. Diciamo piuttosto... "sarebbe meglio che". Beh... ora che ci penso... e anche molto software proprietario è distribuito senza garanzie. Questo è un punto interessante che è emerso precedentemente su questa lista, parlando di robotica e delle morti provocate dalle self-driving car quest'anno. Chi risponde dei danni causati da un software distribuito WITHOUT WARRANTY? Al momento, correggetemi se sbaglio, ne risponde l'utente che lo esegue a meno che non sia comprovabile la mala fede di chi lo ha sviluppato/distribuito. Giacomo