Home
NFR-3: Sicurezza
Descrizione
[NFR-3.01] La sicurezza DEVE (MUST) essere integrata nell’architettura e nel design del sistema. [NFR-3.02] I sistemi DEVONO (MUST) implementare impostazioni predefinite sicure, il principio del minimo privilegio e la difesa in profondità per proteggere i dati sensibili e mantenere la disponibilità del servizio.
Guida
Costruire per la sicurezza
[NFR-3.03] I team DEVONO (MUST) seguire pratiche di codifica sicura e DEVONO (MUST) validare tutti gli input e output:
- Secure by default: Implementare configurazioni sicure per impostazione predefinita
- Principio del minimo privilegio: Garantire che utenti, processi e servizi abbiano solo i permessi minimi necessari
- Difesa in profondità: Implementare più livelli di controlli di sicurezza
- Validazione degli input: Validare e sanitizzare tutti gli input utente per prevenire injection attacks
- Gestione sicura dei dati: Proteggere i dati sensibili in transito e at rest
- Autenticazione e autorizzazione: Implementare meccanismi robusti di autenticazione e autorizzazione
- Gestione delle sessioni: Implementare gestione sicura delle sessioni con timeout appropriati
- Logging di sicurezza: Registrare eventi di sicurezza rilevanti per audit e incident response
Validare la sicurezza
DEVE (MUST) essere testato:
- [NFR-3.04] Validazione e sanitizzazione degli input
- [NFR-3.05] Meccanismi di autenticazione e autorizzazione
- [NFR-3.06] Protezione contro vulnerabilità OWASP Top 10
- [NFR-3.07] Gestione sicura di dati sensibili
- [NFR-3.08] Configurazioni di sicurezza
DOVREBBE (SHOULD) essere testato:
- [NFR-3.09] Penetration testing
- [NFR-3.10] Security code review
- [NFR-3.11] Vulnerability scanning
- [NFR-3.12] Threat modeling
Misurazione
| Stato |
Criteri |
| 🟢 VERDE |
Tutti i controlli di sicurezza implementati, test di sicurezza regolari, nessuna vulnerabilità critica |
| 🟡 AMBRA |
Alcune lacune nei controlli, test di sicurezza non regolari |
| 🔴 ROSSO |
Nessun controllo di sicurezza o validazione implementata |
Riferimenti