Paolo Perego bio photo

Paolo Perego

Specialista di application security italiano. 37 anni, milanese, papà, praticante di Taekwon-do ITF, chitarrista e blogger.

Twitter Facebook Github

That's all folks and thanks for the cross sites

[tweetmeme source="thesp0nge"] Cambia poco, cambia molto ma in fondo cambia tutto. Sono stato un security consultant per 5 anni e 7 mesi. Mi sono occupato di implementatione di sistemi di IA&M. Ho redatto documenti di "best practices", linee guida per sviluppo sicuro. Ho fatto corsi di formazione, o sessioni di awerness (che poi è la stessa cosa solo che detta così fa proprio fico). Ho penetration test e code review. Ho visto applicazioni online scritte talmente male da risultare imbarazzanti. Ho visto applicazioni online scritte talmente bene da farmi rimanere a bocca asciutta. Sono diventato in questi anni, project leader di Owasp Orizon, R&D director di Owasp Italia. In questi anni ho parlato di analisi statica del codice in U.S.A., in Polonia, in Belgio e in Italia ovviamente, sia negli Owasp Italy days che a Smau, eAcademy e via discorrendo. Bene, dopo 5 anni e 7 mesi come security consultant, esco dal gruppo. Ho la mia idea sul livello di maturità dello scenario IT italiano per quello che riguarda la sicurezza informatica. Me lo tengo per me. Qualcuno si potrebbe offendere. Due considerazioni le voglio fare:
  • se qualcuno ti fa una code review... non ti incazzare se trova delle sbavature lato security. Non ti sta dicendo che sei un incompetente, ti sta solo dicendo come corazzare il tuo software. Ti sta aiutando. So che questo incrina la tua ego, il tuo machismo dello sviluppatore che non deve chiedere mai... ma tant'è: il codice che scrivi è insicuro. Period
  • se chiedi un penetration test e l'applicazione o l'application server è scritto o configurato col culo e va giù come una pera di fronte a qualche richiesta HTTP non ti devi incazzare con chi fa i test... forse dovresti curare di più i tuoi apparati o le tue app sono scritte "effettivamente" col culo.
Quindi? Quindi dopo 5 anni e 7 mesi ho deciso di tornare nel lato oscuro dello sviluppo software. Perché? Perché creare software è bello, anche se in ItaGlia comunque guadegnerò meno che un agricoltore australiano. Perché scrivere software non mi impedisce di fare application security. Anzi. Forse dall'interno sarò molto più facile fare della buona application security. Perché creare software è un'arte e poi perché... in fondo è solo l'inizio di una strada che porta a domani.
That's all folks and thanks for the cross sites

comments powered by Disqus