Introduzione

Le potenziali vulnerabilità sono gestite nel progetto GovWay in accordo a processi rigorosi e documentati. La segnalazione di una potenziale vulnerabilità può avvenire tramite diverse fonti:

• l’analisi delle librerie terza parte, descritta nella sezione OWASP Dependency-Check Jenkins Plugin, rileva una vulnerabilità tramite il tool OWASP Dependency-Check;

• i test di sicurezza, descritti nella sezione Security Tests, rilevano un nuovo problema o una regressione;

• dagli utenti di GovWay tramite l’apertura di un GovWay Issue.

Qualunque sia la provenienza, la segnalazione viene immediatamente analizzata al fine di verificare:

• se si tratta di un falso positivo e in tal case registrarlo come tale: Falsi Positivi;

• se si tratta di una vulnerabilità con un effettivo impatto sul software GovWay; in tal caso viene registrato un nuovo avviso di sicurezza ed avviato il processo di risoluzione, così come descritto nella sezione Avvisi di Sicurezza.