Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Approccio europeo alla Software Vulnerability Disclosure - Gianluca Varisco

Team per la Trasformazione Digitale
May 28, 2018
Technology
1
160

Approccio europeo alla Software Vulnerability Disclosure - Gianluca Varisco

Alcuni mesi fa il CEPS (Centre for European Policy Studies, think tank con sede a Bruxelles) ha avviato una Task Force europea sul tema "Software Vulnerability Disclosure" (SVD) a cui hanno preso parte aziende del settore privato, le istituzioni europee e la società civile con l’obiettivo di definire una serie di raccomandazioni di policy per rendere operativo un processo di Coordinated Vulnerability Disclosure (CVD) in Europa. In questa presentazione si è discusso quanto prodotto dal gruppo di lavoro, i prossimi passi che i paesi membri dell'EU dovranno affrontare e le relative scadenze.

Team per la Trasformazione Digitale

May 28, 2018
Tweet

More Decks by Team per la Trasformazione Digitale

See All by Team per la Trasformazione Digitale
Il ruolo dei partner tecnologici nel processo di trasformazione dei servizi pubblici. La strada tracciata dal White Paper all’insegna della continuità
teamdigitale
0
100
Dal Piano Triennale al White Paper
teamdigitale
0
75
Cloud enablement
teamdigitale
0
330
Infrastrutture Digitali - Data Center & Cloud
teamdigitale
0
120
Progetto IO, l’app dei servizi pubblici, alla prova dei milanesi
teamdigitale
0
120
Cloud from outer space - Cronache di un sistema in trasformazione
teamdigitale
0
77
Progetto IO - Concept Evaluation: risultati
teamdigitale
0
6.7k
Progetto IO - Demo: risultati
teamdigitale
0
5.8k
I primi due anni del Team per la Trasformazione Digitale
teamdigitale
0
9.9k

Other Decks in Technology

See All in Technology
require(ESM)とECMAScript仕様
uhyo
3
760
本当のAWS基礎
toru_kubota
0
520
どうするコスト最適化のトレードオフ
tetsuyaooooo
1
530
ChatGPT for IT Service Management (IT Pro)
dahatake
7
1.6k
JSON攻略法.pdf
miyakemito
8
5.1k
Kernel MemoryでAzure OpenAI Serviceとお手軽データソース連携
mitsuzono
1
260
Reducing Cross-Zone Egress at Spotify with Custom gRPC Load Balancing Recap
koh_naga
0
210
Janus
bkuhlmann
1
490
ゼロから始めるVue.jsコミュニティ貢献 / first-vuejs-community-contribution-link-and-motivation
lmi
1
130
Building a RAG-powered AI chat app with Python and VS Code
pamelafox
0
100
非同期推論システムによるコスト削減と信頼性向上
koki_nishihara
0
260
プラットフォームってつくることより計測することが重要なんじゃないかという話 / Platform Engineering Meetup #8
taishin
1
370

Featured

See All Featured
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
40
4.4k
RailsConf 2023
tenderlove
4
540
Six Lessons from altMBA
skipperchong
21
3k
10 Git Anti Patterns You Should be Aware of
lemiorhan
648
58k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
25
2.3k
Testing 201, or: Great Expectations
jmmastey
28
6.4k
StorybookのUI Testing Handbookを読んだ
zakiyama
13
4.6k
Automating Front-end Workflow
addyosmani
1356
200k
Designing with Data
zakiwarfel
96
4.8k
Building Effective Engineering Teams - LeadDev
addyosmani
28
1.8k
Code Review Best Practice
trishagee
55
15k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
18
6.9k

Transcript

  1. Approccio europeo alla Software Vulnerability Disclosure GIANLUCA VARISCO Team per

    la Trasformazione Digitale Governo Italiano

  2. CHI SONO Good intentions do not work. Mechanisms work.

  3. Team per la Trasformazione Digitale

  4. Coordinated Vulnerability Disclosure (CVD)

  5. A cosa serve? Definisce una modalità per riportare le vulnerabilità,

    lasciando al ricevente il tempo necessario per individuare e applicare le opportune contromisure, prima di renderle pubbliche.

  6. Benefici La tempestività nel risolvere le falle risulta cruciale per

    ridurre la finestra temporale in cui i software sono esposti a soggetti malevoli.

  7. Ruolo del Team Crediamo fermamente nella Coordinated Vulnerability Disclosure (CVD)

    come uno degli strumenti principali per fare un uso positivo e controllato delle fortissime conoscenze della comunità di ethical hacker italiane e internazionali.

  8. È un duro lavoro di squadra

  9. CEPS Task Force on «SW Vulnerability Disclosure in Europe»

  10. PERCHÉ? I ricercatori di sicurezza nell’Unione Europea necessitano di: •

    una maggiore chiarezza giuridica • standard consistenti 28 stati membri 28 situazioni disomogenee

  11. Esempio: Ungheria

  12. Altri esempi

  13. Partecipanti

  14. Partecipanti

  15. Partecipanti

  16. ISO/IEC 29147 e ISO/IEC 30111

  17. Summary vulnerability disclosure process

  18. Vulnerability information exchange

  19. Mappatura

  20. Proposte

  21. CVD Policy European-level framework complemented by national legislation

  22. Amending national legislation Member states should amend their national legislation

    bearing on CVD, using the framework on CVD introduced in the Netherlands as a model.

  23. EU Legislation Amending Directive 2013/40/EU on attacks against information systems

    (the "EU cybercrime Directive") to support CVD

  24. EU Legislation Protection of security researchers

  25. EU Legislation Incentives for security researchers

  26. EU Legislation Cybersecurity Act: ENISA can contribute to the harmonised

    development of CVD in the EU by having its mandate amended.

  27. Report finale previsto per Giugno 2018

  28. Grazie! Domande?

  29. Seguici su: teamdigitale.governo.it pianotriennale-ict.italia.it @gvarisco, @teamdigitaleIT @gvarisco, @team-per-la-trasformazione-digitale @company/teamdigitale