Introduzione¶

Ogni nuova versione di GovWay prima del rilascio viene sottoposta a 3 diversi tipi di verifiche di sicurezza al fine di assicurarne la stabilità e l’assenza di vulnerabilità note.

• Static Code Analysis: identifica possibili vulnerabilità all’interno del codice sorgente tramite i tools SpotBugs e SonarQube.

• Dynamic Analysis: cerca vulnerabilità del software durante l’effettiva esecuzione del prodotto. L’analisi viene eseguita attraverso l’esecuzione di estese batterie di test realizzate tramite i tool TestNG, JUnit, Karate e OWASP ZAP Proxy.

• Third Party Dependency Analysis: assicura che tutte le librerie terza parte utilizzate non siano soggette a vulnerabilità di sicurezza note, utilizzando il tool OWASP Dependency-Check.

Ognuna di tali fasi viene anche verificata per ogni commit sul master dei sorgenti del progetto nell’ambiente di Continuous Integration Jenkins di GovWay.