TechED 2007: Developers e Sicurezza...
Anche quest'anno l'edizione del TechED ha dato molto spazio agli aspetti di sicurezza applicativa. Tante le sessioni dedicate alla gestione all'Identity & Access Management (I&AM), alle novità introdotte nel framework 3.5, ad ASP.NET Security, Windows Vista e Windows Server 2008 oltre (non poteva mancare) ai processi con l' SDL (Security Development LifeCycle).
Facciamo un piccolo sunto per ogni argomento:
I&AM è un termine relativamente nuovo che ha significati diversi a seconda dell'interolcutore. Ad esempio per i Software Architect è sinonimo di Autenticazione e autorizzazione, per gli IT Pro di single password synchronization, meta-directory e Single sign on mentre per gli sviluppatori (oltre ad essere prevalentemente una seccatura) significa quali API o servizi usare per interfacciarsi con l'infrastruttura di autenticazione ed autorizzazione.In questo contesto i vari speaker sono tutti convenuti sull'importanza dei token claim-based e delle applicazioni claim-aware contestualizzando ADFS e Cardspace a seconda degli scenari architetturali : Intra Identity Domain, Cross Identity Domain e Internet.
Infine, una sessione dedicata agli Architetti per mostrare la strategia della nuova piattaforma Identity Lifecycle Management "2" e i passi per rendere le proprie applicazioni identity aware.
.NET 3.5. Viste le notizie della keynote e relative date di rilascio di Visual Studio 2008 e .NET Framework 3.5 non potevano mancare le sessioni dedicate agli aspetti di sicurezza presenti nel framework .NET 3.5.
Alcune sessioni erano dedicate alle sole novità mentre molte altre partivano dai concetti base come : WCF Security, CardSpace, ecc..
SDL e Threat Modeling. Il mitico Michael Howard quest'anno si è concentrato maggiormente sugli aspetti pratici del Threat Modeling riportando spesso l'esperienza all'interno dei team di sviluppo:
Per ulteriori informazioni riguardo le novità nel Threat Modeling vi rimando al mio post a riguardo.
Windows Vista e Windows Server 2008. Anche gli aspetti di sicurezza dei sistemi operativi sono stati oggetto di varie sessioni. Infatti è importante conoscere i miglioramenti di sicurezza nei sistemi per poterli sfruttare all'interno delle proprie applicazioni. La sessione più seguita è stata quella del grande Rafal Lukawiecki che con il suo inconfondibile stile old-english ha fatto una carellata delle princiapali novità...
Web Apps e ASP.NET. Tutte le sessioni sull'argomento partivano dal concetto del SDL (Security Development Lifecycle) rispetto al proprio SDLC (Software Development LifeCycle) per poi entrare nei dettagli tecnologici. Alcune sessioni si focalizzavano solo sugli aspetti tecnici mentre altre riportavano l'esperienza maturata da alcuni clienti nella realizzazione delle proprie applicazioni.. ma alla fine tutti devono prima o poi rispondere a:
Software Licensing and Protection Services (SLPS). Questo è un prodotto nuovo che permette chi sviluppa software (ISV e Enterprise Developers) di gestire la distribuzione delle prorpie soluzioni tramite un insieme di servizi orientati al licensing.
Tutte queste tematiche le approfondiremo nei mesi prossimi tramite il sito di sicurezza applicativa, i percorsi formativi sulla sicurezza oltre ovviamente al mio blog...
A presto...