Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

[v4.0.3] Add Italian translation from @ricsirigu (#1973) #2085

Merged
merged 1 commit into from
Sep 16, 2024
Merged
Show file tree
Hide file tree
Changes from all commits
Commits
File filter

Filter by extension

Filter by extension

Conversations
Failed to load comments.
Loading
Jump to
Jump to file
Failed to load files.
Loading
Diff view
Diff view
Binary file not shown.

Large diffs are not rendered by default.

Binary file not shown.
3,722 changes: 3,722 additions & 0 deletions 4.0/docs_it/OWASP Application Security Verification Standard 4.0.3-it.flat.json

Large diffs are not rendered by default.

6,734 changes: 6,734 additions & 0 deletions 4.0/docs_it/OWASP Application Security Verification Standard 4.0.3-it.json

Large diffs are not rendered by default.

Large diffs are not rendered by default.

1 change: 1 addition & 0 deletions 4.0/docs_it/it
Original file line number Diff line number Diff line change
@@ -0,0 +1 @@

9 changes: 9 additions & 0 deletions 4.0/it/0x00-Header.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,9 @@
#

![OWASP LOGO](../images/owasp_logo_1c_notext.png)

# Application Security Verification Standard 4.0.3

## Final

Ottobre 2021
51 changes: 51 additions & 0 deletions 4.0/it/0x01-Frontispiece.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,51 @@
# Frontespizio

## Riguardo allo standard

La Application Security Verification Standard è una lista di requisiti o test per la sicurezza delle applicazioni che può essere utilizzata da architetti del software, sviluppatori, tester, security professionals, tool vendors, e utenti per definire, realizzare, testare e verificare la sicurezza delle applicazioni.

## Copyright e Licenza

Version 4.0.3, October 2021

![license](../images/license.png)

Copyright © 2008-2021 The OWASP Foundation. Questo documento è rilasciato sotto la [Creative Commons Attribution ShareAlike 3.0 license](https://creativecommons.org/licenses/by-sa/3.0/). Per qualsiasi riutilizzo o distribuzione, devi chiarire agli altri i termini di licenza di questa opera.

## Leader del progetto

| | | |
|---------------------- |----------------- |------------ |
| Andrew van der Stock | Daniel Cuthbert | Jim Manico |
| Josh C Grossman | Elar Lang | |

## Principali Contributori

| | | |
|---------------- |---------------- |------------------- |
| Abhay Bhargav | Benedikt Bauer | Osama Elnaggar |
| Ralph Andalis | Ron Perris | Sjoerd Langkemper |
| Tonimir Kisasondi | | |

## Altri Contributori e Revisori

| | | | | |
| ------------------- | ------------------ | ----------------- | ---------------- | ----------------- |
| Aaron Guzman | Alina Vasiljeva | Andreas Kurtz | Anthony Weems | Barbara Schachner |
| Christian Heinrich | Christopher Loessl | Clément Notin | Dan Cornell | Daniël Geerts |
| David Clarke | David Johansson | David Quisenberry | Elie Saad | Erlend Oftedal |
| Fatih Ersinadim | Filip van Laenen | Geoff Baskwill | Glenn ten Cate | Grant Ongers |
| hello7s | Isaac Lewis | Jacob Salassi | James Sulinski | Jason Axley |
| Jason Morrow | Javier Dominguez | Jet Anderson | jeurgen | Jim Newman |
| Jonathan Schnittger | Joseph Kerby | Kelby Ludwig | Lars Haulin | Lewis Ardern |
| Liam Smit | lyz-code | Marc Aubry | Marco Schnüriger | Mark Burnett |
| Philippe De Ryck | Ravi Balla | Rick Mitchell | Riotaro Okada | Robin Wood |
| Rogan Dawes | Ryan Goltry | Sajjad Pourali | Serg Belkommen | Siim Puustusmaa |
| Ståle Pettersen | Stuart Gunter | Tal Argoni | Tim Hemel | Tomasz Wrobel |
| Vincent De Schutter | Mike Jang | Riccardo Sirigu | | |



Se non vi ritrovate nella lista dei contributori relativa alla versione 4.0.3 qui sopra, si prega di aprire un ticket su GitHub per essere riconosciuti negli aggiornamenti futuri.

La Application Security Verification Standard si basa sul lavoro svolto da coloro che hanno partecipato dalla verisone ASVS 1.0 del 2008 fino alla versione 3.0 del 2016. Gran parte della struttura e degli elementi di verifica che sono ancora presenti nell'ASVS attuale, sono stati originariamente scritti da Mike Boberski, Jeff Williams e Dave Wichers, ma ci sono molti altri contributori. Grazie a tutti coloro che hanno partecipato in precedenza. Per un elenco completo di tutti coloro che hanno contribuito alle versioni precedenti, si prega di consultare ciascuna versione precedente.
31 changes: 31 additions & 0 deletions 4.0/it/0x02-Preface.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,31 @@
# Prefazione

Benvenuti alla versione 4.0 dello Standard di Verifica della Sicurezza delle Applicazioni (ASVS). L'ASVS è un'iniziativa guidata dalla comunità che mira a definire un framework di requisiti e controlli di sicurezza, concentrandosi sulle misure funzionali e non funzionali necessarie per la progettazione, lo sviluppo e il test di moderne applicazioni e servizi web.

La versione 4.0.3 rappresenta la terza revisione minore della versione 4.0, volta a correggere errori ortografici e a chiarire i requisiti, senza apportare modifiche sostanziali, come l'aggiornamento dei requisiti o l'introduzione di nuovi. Tuttavia, abbiamo leggermente allentato alcuni requisiti dove appropriato e rimosso quelli ormai superflui, mantenendo invariata la numerazione.

L'ASVS 4.0 è il risultato di un impegno collaborativo e dei feedback raccolti dal settore negli ultimi dieci anni. Abbiamo cercato di semplificarne l'adozione per una vasta gamma di casi d'uso, coprendo l'intero ciclo di vita dello sviluppo di software sicuro.

Siamo consapevoli che probabilmente non ci sarà mai un consenso unanime sul contenuto di uno standard per applicazioni web, inclusa l'ASVS. L'analisi del rischio è intrinsecamente soggettiva, il che rende complessa la creazione di uno standard universale. Tuttavia, speriamo che gli aggiornamenti introdotti in questa versione rappresentino un passo avanti nella direzione giusta, rafforzando i concetti chiave di questo importante standard industriale.

## Cosa c'è di nuovo nella versione 4.0

Il cambiamento più rilevante in questa versione è l'adozione delle Linee Guida per l'Identità Digitale del NIST 800-63-3, che introduce controlli di autenticazione moderni, avanzati e basati su evidenze. Pur consapevoli che ci possa essere una certa resistenza nell'adeguarsi a uno standard di autenticazione così avanzato, riteniamo fondamentale che gli standard siano allineati, specialmente quando si basano su evidenze e sono supportati da un altro autorevole standard di sicurezza delle applicazioni.

Gli standard di sicurezza delle informazioni dovrebbero puntare a ridurre il numero di requisiti unici, per evitare che le organizzazioni, nel percorso verso la conformità, debbano scegliere tra controlli concorrenti o incompatibili. La OWASP Top 10 del 2017 e ora lo Standard di Verifica della Sicurezza delle Applicazioni OWASP sono allineati al NIST 800-63 per quanto riguarda l'autenticazione e la gestione delle sessioni. Invitiamo altri enti normativi a collaborare con noi, con il NIST e con altri, al fine di sviluppare un insieme di controlli di sicurezza delle applicazioni ampiamente accettato, che massimizzi la sicurezza e riduca al minimo i costi di conformità.

L'ASVS 4.0 è stato completamente rinumerato dall'inizio alla fine. Questo nuovo schema di numerazione ci ha consentito di colmare i vuoti lasciati da capitoli ormai scomparsi e di suddividere i capitoli più estesi, facilitando l'implementazione dei controlli per sviluppatori e team. Ad esempio, se un'applicazione non utilizza JWT, l'intera sezione relativa alla gestione delle sessioni tramite JWT non sarà applicabile.

Una delle principali novità della versione 4.0 è l'introduzione di una mappatura completa con le Common Weakness Enumeration (CWE), una delle funzionalità più richieste nell'ultimo decennio. Questa mappatura permette a produttori di strumenti e utilizzatori di software di gestione delle vulnerabilità di correlare i risultati di altri strumenti e versioni precedenti del ASVS con la versione 4.0 e successive. Per fare spazio alla mappatura CWE, abbiamo eliminato la colonna "Since", che, a seguito della rinumerazione totale, aveva perso rilevanza rispetto alle versioni precedenti del ASVS. Non tutti i controlli del ASVS hanno una CWE associata e, poiché i CWE presentano spesso duplicazioni, abbiamo scelto di utilizzare le corrispondenze più comuni, piuttosto che quelle strettamente più precise. Tuttavia, non sempre è possibile trovare una corrispondenza tra i controlli di verifica e le debolezze. Continuiamo a incoraggiare il dibattito con la comunità CWE e, più in generale, con il settore della sicurezza delle informazioni per affrontare questa sfida.

Abbiamo lavorato per soddisfare e superare in modo completo i requisiti necessari ad affrontare la OWASP Top 10 del 2017 e i Controlli Proattivi OWASP del 2018. Poiché la OWASP Top 10 del 2017 rappresenta il livello minimo per evitare negligenze in ambito sicurezza, abbiamo classificato come controlli di Livello 1 tutti i requisiti della Top 10, ad eccezione di quelli specifici al logging. Questo approccio facilita l'adozione di un vero standard di sicurezza per coloro che già utilizzano la OWASP Top 10.

Ci siamo inoltre impegnati a rendere l'ASVS 4.0 Livello 1 un insieme di controlli completo e più avanzato rispetto alla Sezione 6.5 dello standard PCI DSS 3.2.1, che copre aspetti come progettazione, sviluppo, test, revisioni sicure del codice e penetration test per le applicazioni. Per raggiungere questo obiettivo, abbiamo esteso i controlli di Livello 1 includendo la rilevazione di buffer overflow, operazioni di memoria non sicure (V5) e flag di compilazione associati a operazioni rischiose sulla memoria (V14), oltre ai già consolidati requisiti per la verifica di applicazioni e servizi web.

Abbiamo completato la transizione del ASVS da controlli monolitici per soli server ad un sistema che fornisce sicurezza per tutte le applicazioni e le API moderne. Nell'era della programmazione funzionale, delle API serverless, del mobile, del cloud, dei container, dell'integrazione continua e consegna continua (CI/CD), del DevSecOps, della federazione e di molte altre tecnologie, non possiamo più trascurare le architetture applicative moderne. Le applicazioni moderne sono progettate in modo molto diverso da quelle in voga al lancio del ASVS originale nel 2009. L'ASVS deve sempre guardare al futuro per offrire raccomandazioni solide al suo pubblico principale: gli sviluppatori. Per questo motivo, abbiamo chiarito o eliminato tutti i requisiti che presuppongono che le applicazioni vengano eseguite su sistemi di proprietà di una singola organizzazione.

A causa della complessità del ASVS 4.0 e del nostro obiettivo di renderlo lo standard di riferimento per tutti gli altri progetti correlati, abbiamo deciso di ritirare il capitolo dedicato al mobile, a favore del Mobile Application Security Verification Standard (MASVS). L'appendice relativa all'Internet of Things (IoT) verrà inclusa in un futuro standard ASVS specifico per l'IoT, curato dall'OWASP Internet of Things Project. Nell'Appendice C, abbiamo inserito un'anteprima iniziale del ASVS per l'IoT. Ringraziamo l'OWASP Mobile Team e l'OWASP IoT Project Team per il loro supporto all'ASVS e siamo entusiasti di collaborare con loro in futuro per offrire standard complementari.

Infine, abbiamo rimosso i controlli duplicati e quelli a basso impatto. Con il tempo, l'ASVS è diventato un insieme completo di controlli, ma non tutti hanno lo stesso valore nel garantire la sicurezza del software. Questo lavoro di eliminazione dei controlli a basso impatto potrebbe proseguire in futuro. Nella prossima edizione del ASVS, il Common Weakness Scoring System (CWSS) sarà utilizzato per aiutare a prioritizzare ulteriormente i controlli davvero rilevanti, distinguendoli da quelli da eliminare.

A partire dalla versione 4.0, l'ASVS si focalizzerà esclusivamente sul diventare lo standard di riferimento per le applicazioni e i servizi web, includendo sia architetture applicative tradizionali che moderne. Coprirà inoltre le pratiche di sicurezza agili e integrerà la cultura DevSecOps, garantendo un approccio completo e aggiornato alla sicurezza.
Loading