Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Approccio europeo alla Software Vulnerability D...

Team per la Trasformazione Digitale
May 28, 2018
Technology
1
200

Approccio europeo alla Software Vulnerability Disclosure - Gianluca Varisco

Alcuni mesi fa il CEPS (Centre for European Policy Studies, think tank con sede a Bruxelles) ha avviato una Task Force europea sul tema "Software Vulnerability Disclosure" (SVD) a cui hanno preso parte aziende del settore privato, le istituzioni europee e la società civile con l’obiettivo di definire una serie di raccomandazioni di policy per rendere operativo un processo di Coordinated Vulnerability Disclosure (CVD) in Europa. In questa presentazione si è discusso quanto prodotto dal gruppo di lavoro, i prossimi passi che i paesi membri dell'EU dovranno affrontare e le relative scadenze.

Team per la Trasformazione Digitale

May 28, 2018
Tweet

More Decks by Team per la Trasformazione Digitale

See All by Team per la Trasformazione Digitale
Il ruolo dei partner tecnologici nel processo di trasformazione dei servizi pubblici. La strada tracciata dal White Paper all’insegna della continuità
teamdigitale
0
110
Dal Piano Triennale al White Paper
teamdigitale
0
86
Cloud enablement
teamdigitale
0
380
Infrastrutture Digitali - Data Center & Cloud
teamdigitale
0
150
Progetto IO, l’app dei servizi pubblici, alla prova dei milanesi
teamdigitale
0
130
Cloud from outer space - Cronache di un sistema in trasformazione
teamdigitale
0
86
Progetto IO - Concept Evaluation: risultati
teamdigitale
0
6.9k
Progetto IO - Demo: risultati
teamdigitale
0
5.9k
I primi due anni del Team per la Trasformazione Digitale
teamdigitale
0
10k

Other Decks in Technology

See All in Technology
End of Barrel Files: New Modularization Techniques with Sheriff
rainerhahnekamp
0
280
信頼性に挑む中で拡張できる・得られる1人のスキルセットとは?
ken5scal
1
370
地理情報データをデータベースに格納しよう~ GPUを活用した爆速データベース PG-Stromの紹介 ~
sakaik
1
100
Postmanの日本市場におけるDevRel (的) 活動 / Postman's DevRelish activities in Japan
yokawasa
1
120
透過型SMTPプロキシによる送信メールの可観測性向上: Update Edition / Improved observability of outgoing emails with transparent smtp proxy: Update edition
linyows
2
180
GraphRAGを用いたLLMによるパーソナライズド推薦の生成
naveed92
0
190
TinyGoを使ったVSCode拡張機能実装
askua
2
200
Team Dynamicsを目指すウイングアーク1stのQAチーム
sadonosake
1
190
オーティファイ会社紹介資料 / Autify Company Deck
autifyhq
9
120k
製造現場のデジタル化における課題とPLC Data to Cloudによる新しいアプローチ
hamadakoji
0
190
Forget efficiency – Become more productive without the stress
ufried
0
240
今、始める、第一歩。 / Your first step
yahonda
2
680

Featured

See All Featured
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
46
2.1k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
364
24k
Building a Scalable Design System with Sketch
lauravandoore
459
33k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
505
140k
StorybookのUI Testing Handbookを読んだ
zakiyama
26
5.2k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2.1k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5k
The Cult of Friendly URLs
andyhume
78
6k

Transcript

  1. Approccio europeo alla Software Vulnerability Disclosure GIANLUCA VARISCO Team per

    la Trasformazione Digitale Governo Italiano

  2. CHI SONO Good intentions do not work. Mechanisms work.

  3. Team per la Trasformazione Digitale

  4. Coordinated Vulnerability Disclosure (CVD)

  5. A cosa serve? Definisce una modalità per riportare le vulnerabilità,

    lasciando al ricevente il tempo necessario per individuare e applicare le opportune contromisure, prima di renderle pubbliche.

  6. Benefici La tempestività nel risolvere le falle risulta cruciale per

    ridurre la finestra temporale in cui i software sono esposti a soggetti malevoli.

  7. Ruolo del Team Crediamo fermamente nella Coordinated Vulnerability Disclosure (CVD)

    come uno degli strumenti principali per fare un uso positivo e controllato delle fortissime conoscenze della comunità di ethical hacker italiane e internazionali.

  8. È un duro lavoro di squadra

  9. CEPS Task Force on «SW Vulnerability Disclosure in Europe»

  10. PERCHÉ? I ricercatori di sicurezza nell’Unione Europea necessitano di: •

    una maggiore chiarezza giuridica • standard consistenti 28 stati membri 28 situazioni disomogenee

  11. Esempio: Ungheria

  12. Altri esempi

  13. Partecipanti

  14. Partecipanti

  15. Partecipanti

  16. ISO/IEC 29147 e ISO/IEC 30111

  17. Summary vulnerability disclosure process

  18. Vulnerability information exchange

  19. Mappatura

  20. Proposte

  21. CVD Policy European-level framework complemented by national legislation

  22. Amending national legislation Member states should amend their national legislation

    bearing on CVD, using the framework on CVD introduced in the Netherlands as a model.

  23. EU Legislation Amending Directive 2013/40/EU on attacks against information systems

    (the "EU cybercrime Directive") to support CVD

  24. EU Legislation Protection of security researchers

  25. EU Legislation Incentives for security researchers

  26. EU Legislation Cybersecurity Act: ENISA can contribute to the harmonised

    development of CVD in the EU by having its mandate amended.

  27. Report finale previsto per Giugno 2018

  28. Grazie! Domande?

  29. Seguici su: teamdigitale.governo.it pianotriennale-ict.italia.it @gvarisco, @teamdigitaleIT @gvarisco, @team-per-la-trasformazione-digitale @company/teamdigitale