Strumenti di test per la sicurezza di applicazioni web

Nello sviluppo di prodotti software di tipo industriale il rispetto di determinati standard, innanzitutto di sicurezza, è essenziale per garantire non solo la qualità del software ma anche per fare in modo che quest’ultimo non sia veicolo per l’introduzione di falle di sicurezza nei sistemi che lo ospitano. Un aspetto fondamentale per produrre software di qualità è quindi utilizzare i giusti strumenti per analizzare e valutare la sua sicurezza. Gruppo SIGLA, in quanto azienda produttrice di software, ha un precipuo interesse nel garantire secondo standard industriali la sicurezza dei suoi progetti. In questa tesi verranno individuati e valutati degli strumenti gratuiti per l’analisi della sicurezza delle applicazioni web che potrebbero rivelarsi utili durante il processo di sviluppo del software. Lo strumento di testing principale che verrà valutato in questo elaborato sarà Burp Suite Community Edition, la versione con licenza gratuita di uno dei più famosi programmi per analizzare la sicurezza delle applicazioni web. Inoltre, verranno esplorate anche le funzionalità di un altro strumento di analisi: OWASP Zed Attack Proxy. Il contenuto di questa tesi prevede: • Analisi del contesto, identificazione tecnologie adeguate ad effettuare test sulla sicurezza delle applicazioni web. • Valutazione e test preliminari degli strumenti individuati in un ambiente di prova • Esplorare le possibilità di integrazione degli strumenti individuati in processi DevOps e CD/CI • Testare la sicurezza di un applicativo reale (Azienda Mobilità e Trasporti di Genova) con Burp Suite e OWASP ZAP