Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Approccio europeo alla Software Vulnerability D...

Team per la Trasformazione Digitale
May 28, 2018
Technology
1
210

Approccio europeo alla Software Vulnerability Disclosure - Gianluca Varisco

Alcuni mesi fa il CEPS (Centre for European Policy Studies, think tank con sede a Bruxelles) ha avviato una Task Force europea sul tema "Software Vulnerability Disclosure" (SVD) a cui hanno preso parte aziende del settore privato, le istituzioni europee e la società civile con l’obiettivo di definire una serie di raccomandazioni di policy per rendere operativo un processo di Coordinated Vulnerability Disclosure (CVD) in Europa. In questa presentazione si è discusso quanto prodotto dal gruppo di lavoro, i prossimi passi che i paesi membri dell'EU dovranno affrontare e le relative scadenze.

Team per la Trasformazione Digitale

May 28, 2018
Tweet

More Decks by Team per la Trasformazione Digitale

See All by Team per la Trasformazione Digitale
Il ruolo dei partner tecnologici nel processo di trasformazione dei servizi pubblici. La strada tracciata dal White Paper all’insegna della continuità
teamdigitale
0
110
Dal Piano Triennale al White Paper
teamdigitale
0
87
Cloud enablement
teamdigitale
0
390
Infrastrutture Digitali - Data Center & Cloud
teamdigitale
0
150
Progetto IO, l’app dei servizi pubblici, alla prova dei milanesi
teamdigitale
0
130
Cloud from outer space - Cronache di un sistema in trasformazione
teamdigitale
0
86
Progetto IO - Concept Evaluation: risultati
teamdigitale
0
6.9k
Progetto IO - Demo: risultati
teamdigitale
0
5.9k
I primi due anni del Team per la Trasformazione Digitale
teamdigitale
0
10k

Other Decks in Technology

See All in Technology
IBC 2024 動画技術関連レポート / IBC 2024 Report
cyberagentdevelopers
PRO
1
110
Making your applications cross-environment - OSCG 2024 NA
salaboy
0
190
OCI Vault 概要
oracle4engineer
PRO
0
9.7k
Taming you application's environments
salaboy
0
190
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
sugamasao
1
310
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
130
VideoMamba: State Space Model for Efficient Video Understanding
chou500
0
190
RubyのWebアプリケーションを50倍速くする方法 / How to Make a Ruby Web Application 50 Times Faster
hogelog
3
950
誰も全体を知らない ~ ロールの垣根を超えて引き上げる開発生産性 / Boosting Development Productivity Across Roles
kakehashi
1
230
テストコード品質を高めるためにMutation Testingライブラリ・Strykerを実戦導入してみた話
ysknsid25
7
2.7k
AI前提のサービス運用ってなんだろう?
ryuichi1208
8
1.4k
AIチャットボット開発への生成AI活用
ryomrt
0
170

Featured

See All Featured
How GitHub (no longer) Works
holman
310
140k
What's new in Ruby 2.0
geeforr
343
31k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
The Pragmatic Product Professional
lauravandoore
31
6.3k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
329
21k
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.5k
Rails Girls Zürich Keynote
gr2m
94
13k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
246
1.3M
How STYLIGHT went responsive
nonsquared
95
5.2k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Building Flexible Design Systems
yeseniaperezcruz
327
38k
How To Stay Up To Date on Web Technology
chriscoyier
788
250k

Transcript

  1. Approccio europeo alla Software Vulnerability Disclosure GIANLUCA VARISCO Team per

    la Trasformazione Digitale Governo Italiano

  2. CHI SONO Good intentions do not work. Mechanisms work.

  3. Team per la Trasformazione Digitale

  4. Coordinated Vulnerability Disclosure (CVD)

  5. A cosa serve? Definisce una modalità per riportare le vulnerabilità,

    lasciando al ricevente il tempo necessario per individuare e applicare le opportune contromisure, prima di renderle pubbliche.

  6. Benefici La tempestività nel risolvere le falle risulta cruciale per

    ridurre la finestra temporale in cui i software sono esposti a soggetti malevoli.

  7. Ruolo del Team Crediamo fermamente nella Coordinated Vulnerability Disclosure (CVD)

    come uno degli strumenti principali per fare un uso positivo e controllato delle fortissime conoscenze della comunità di ethical hacker italiane e internazionali.

  8. È un duro lavoro di squadra

  9. CEPS Task Force on «SW Vulnerability Disclosure in Europe»

  10. PERCHÉ? I ricercatori di sicurezza nell’Unione Europea necessitano di: •

    una maggiore chiarezza giuridica • standard consistenti 28 stati membri 28 situazioni disomogenee

  11. Esempio: Ungheria

  12. Altri esempi

  13. Partecipanti

  14. Partecipanti

  15. Partecipanti

  16. ISO/IEC 29147 e ISO/IEC 30111

  17. Summary vulnerability disclosure process

  18. Vulnerability information exchange

  19. Mappatura

  20. Proposte

  21. CVD Policy European-level framework complemented by national legislation

  22. Amending national legislation Member states should amend their national legislation

    bearing on CVD, using the framework on CVD introduced in the Netherlands as a model.

  23. EU Legislation Amending Directive 2013/40/EU on attacks against information systems

    (the "EU cybercrime Directive") to support CVD

  24. EU Legislation Protection of security researchers

  25. EU Legislation Incentives for security researchers

  26. EU Legislation Cybersecurity Act: ENISA can contribute to the harmonised

    development of CVD in the EU by having its mandate amended.

  27. Report finale previsto per Giugno 2018

  28. Grazie! Domande?

  29. Seguici su: teamdigitale.governo.it pianotriennale-ict.italia.it @gvarisco, @teamdigitaleIT @gvarisco, @team-per-la-trasformazione-digitale @company/teamdigitale