Durante la terza edizione dell’ESICONF2025, il tema della security by design è stato al centro di un intervento che ha esplorato l’importanza di integrare la sicurezza fin dalle prime fasi dello sviluppo software. Questo approccio supera il modello tradizionale, in cui le misure di protezione vengono spesso introdotte solo nelle fasi finali, garantendo invece soluzioni più robuste e sostenibili.

L’intervento di Ilario Gavioli

L’intervento è stato tenuto da Ilario Gavioli, Founder e General Manager di Intesys, che ha illustrato il valore della security by design e l’importanza di adottare un metodo strutturato per garantire la sicurezza del software.

Gavioli ha presentato una metodologia basata su best practice consolidate, supportata da un framework rilasciato sotto licenza Creative Commons, con l’obiettivo di renderlo accessibile e migliorabile dalla community.

Un equilibrio tra sicurezza e sostenibilità

L’approccio descritto si fonda su tre principi chiave:

• Mitigazione dei rischi attraverso un’analisi approfondita delle minacce.
• Accountability per ogni progetto, documentando le misure implementate.
• Sostenibilità dei costi, bilanciando sicurezza e impatto organizzativo.

Questa strategia consente di concentrare le risorse sulle aree di rischio più critiche, senza compromettere la qualità o la scalabilità del software.

L’importanza dell’analisi delle minacce

Uno degli aspetti centrali trattati nell’intervento è stata l’adozione del modello STRIDE, sviluppato da Microsoft, per la classificazione delle vulnerabilità. Questo framework suddivide le minacce in sei categorie:

• Spoofing (impersonificazione) → Fingere di essere qualcun altro per ingannare un sistema o un utente.
• Tampering (manomissione) → Modificare dati o software senza autorizzazione.
• Repudiation (non tracciabilità) → Negare un’azione senza che il sistema possa dimostrare il contrario.
• Information Disclosure (fuga di dati) → Esposizione non autorizzata di informazioni sensibili.
• Denial of Service (blocco del servizio) → Sovraccaricare un sistema per renderlo inutilizzabile.
• Elevation of Privilege (aumento di privilegi) → Ottenere accesso a funzioni o dati con più privilegi del dovuto.

A partire da questa analisi, Intesys valuta ogni possibile minaccia in termini di probabilità di sfruttamento e impatto sull’organizzazione, definendo così le misure di sicurezza più adeguate da implementare.

Automazione e strumenti avanzati per la sicurezza

Per garantire un’applicazione efficace delle misure di sicurezza, Intesys integra nei propri processi strumenti di automazione e analisi avanzata, tra cui:

• SonarQube per l’analisi statica del codice e l’identificazione precoce di vulnerabilità.
• OWASP Dependency Check per il monitoraggio delle dipendenze software e la prevenzione di exploit derivanti da librerie insicure.
• Test di sicurezza avanzati, con un focus sull’analisi delle vulnerabilità già in corso, mentre è in fase di valutazione l’integrazione dell’Intelligenza Artificiale per automatizzare ulteriormente i test.

Un aspetto rilevante è la condivisione della conoscenza: il rilascio delle linee guida in modalità open favorisce la diffusione delle buone pratiche e rafforza la sicurezza dell’intero ecosistema tecnologico.

Conclusioni

L’intervento di Ilario Gavioli durante l’ESICONF2025 ha offerto spunti concreti su come adottare un approccio security by design efficace e scalabile. La metodologia proposta dimostra che la sicurezza può (e deve) essere parte integrante dello sviluppo software, senza diventare un ostacolo alla crescita aziendale. Con strumenti adeguati, processi chiari e un mindset orientato alla prevenzione, le aziende possono garantire applicazioni più sicure, affidabili e conformi alle normative vigenti.

Guarda il video completo dell’intervento per approfondire!