• Condividi su Facebook

Software migliori e più sicuri

  • 22079
  • CORDIS - NEWS 25/05/2010
  • ATTUAZIONE DI PROGRAMMA

logoCome possiamo essere certi che il software del nostro computer è sicuro? Il progetto SHIELDS ('Detecting known security vulnerabilities from within design and development tools'), che ha ricevuto 3,25 milioni di euro nell'ambito del tema 'Tecnologie dell'informazione e della comunicazione' del Settimo programma quadro (7PQ) ha come obiettivo principale il miglioramento della sicurezza del software. Il progetto, che si concluderà ufficialmente a giugno, ha contribuito ad affrontare il problema della sicurezza del software.

Anche oggi, nonostante i continui progressi tecnologici, i sistemi di software continuano a essere vulnerabili dal punto di vista della sicurezza. In effetti è proprio il progresso a creare il problema. Per esempio, ci sono sempre più malfunzionamenti a causa del bisogno di proteggere enormi volumi di informazioni e sistemi critici (pratica conosciuta come 'software controlling'). Inoltre con il progredire del software, che è divenuto sempre più complesso, anche i malfunzionamenti sono diventati più complicati. Infine con i sistemi ad alto contenuto di software che sono visti sempre di più come obiettivi economici e politici da parte di aggressori con buone risorse, anche le minacce a questi sistemi sono aumentate.

Non è più possibile fidarsi di firewall e anti-virus per proteggere il software; gli esperti sostengono che la sicurezza deve essere costruita come parte fondamentale dello stesso software.

A livello industriale, il team del progetto SHIELDS crede che alcuni di questi problemi persistono perché le informazioni sulle vulnerabilità conosciute non sono divulgate agli sviluppatori di software o integrate negli strumenti che essi usano per costruire il software. Di solito, i database contenenti le vulnerabilità cui gli sviluppatori possono accedere forniscono solo informazioni generiche sui problemi e sulla valutazione del rischio, le soluzioni e gli strumenti (scritte comunque per gli utenti e non per gli sviluppatori). La mancanza di informazioni per gli sviluppatori comporta una mancanza di supporto per trovare ed eliminare le vulnerabilità della sicurezza.

Dal momento in cui è stato lanciato il progetto SHIELDS, nel 2008, l'approccio del team è stato quello di concentrarsi sulle lacune di conoscenze e comunicazione che esistono tra gli esperti e i professionisti del software. Fornendo agli sviluppatori di software informazioni importanti da vari settori dell'industria, l'obiettivo di SHIELDS è stato quello di fare in modo che le vulnerabilità della sicurezza già conosciute non fossero inavvertitamente inserite in nuovi software. I nuovi strumenti dovrebbero permettere agli esperti di sicurezza di fornire informazioni sulle vulnerabilità della sicurezza in modo più facile e veloce, il che aiuterebbe a sua volta gli sviluppatori a individuarle ed eliminarle.

La soluzione adottata da SHIELDS è stata quella di sviluppare un insieme di informazioni sulla sicurezza condiviso per tutti i tipi di strumenti e metodi di sicurezza del software chiamato SVRS (Security Vulnerability Repository Service). Lo SVRS è l'elemento centrale dei servizi di SHIELDS. La sua funzione principale è quella di fungere da intermediario tra gli esperti di sicurezza e gli sviluppatori di software. Esso conserva e gestisce complesse informazioni interconnesse sulla sicurezza. Il team ha inoltre creato due programmi di certificazione per il settore industriale: SHIELDS Compliant e SHIELDS Verified. SHIELDS Compliant è per gli strumenti compatibili con lo SVRS, mentre SHIELDS Verified si usa per certificare che il software è stato sottoposto a controlli per la rilevazione di vulnerabilità di sicurezza durante il suo sviluppo.

Il progetto SHIELDS ha passato brillantemente diverse revisioni nelle quali è stato dimostrato l'approccio di SHIELDS e gli strumenti di controllo basati sul modello. La casistica ha mostrato una riduzione dei problemi legati alla sicurezza del software e che gli strumenti sono adatti sia agli esperti di sicurezza che agli sviluppatori di software. Almeno otto dei valutatori che hanno preso parte al processo hanno dato un punteggio abbastanza alto agli strumenti di SHIELDS per l'identificazione delle vulnerabilità della sicurezza.

Nel corso del progetto, della durata di 30 mesi, il team ha anche creato strumenti sincronizzati con le nuove tecnologie e ha fornito migliori informazioni per gli sviluppatori di software e per gli acquirenti. Questi strumenti permettono di testare (Flinder di SEARCH-LAB, TEG di Montimage e dell'Institut TELECOM), monitorare (TIC e TIPS di Montimage e dell'Institut TELECOM), modificare modelli (GOAT di LiU, SeaMonster di SINTEF) e fare controlli (DEFECT del Fraunhofer).

Il consorzio SHIELDS comprende l'Institut TELECOM/TELECOM SudParis (Francia), Montimage EURL (Francia), Fraunhofer IESE (Germania), SEARCH-LAB Ltd (Ungheria), TXT e-solutions SPA (Italia), SINTEF (Norvegia), European Software Institute (Spagna) e Linköpings Universitet (Svezia).

Link
Quadro di finanziamento
  • 7FP-ICT : TECNOLOGIE DELL’INFORMAZIONE E DELLA COMUNICAZIONE: priorità tematica 3 nell'ambito del programma specifico “Cooperazione” recante attuazione del Settimo programma quadro (2007-2013) di attività comunitarie di ricerca, sviluppo tecnologico e dimostrazione
Area di interesse
  • Unione Europea