Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

Affrontare il rientro

Affrontare il rientro Photo by on Unsplash
355 parole - Lo leggerai in 1 minuti

Estate 2016, archiviata. Dopo un tour di più di 5000 km, tra punta e tacco d’Italia, con un FAP intasato fino al midollo, una febbre e 0 sport, eccomi giunto al rientro. Torniamo a proteggere il codice un quarto di byte alla volta.

Quest’anno, sapendo di rientrare di lunedì, ho puntato tutto sul lasciare la mia inbox in ordine alla partenza. Ogni tanto davo un’occhiata alle email e già so che tra qualche ora il mio mal di testa crescerà a dismisura.

Sarà un autunno con un talk al mese. Partiamo a fine Settembre, con l’evento organizzato da ISACA a Venezia, passiamo per Ottobre con evento figo per finire a Novembre con Codemotion Milano. In tutti e 3 gli eventi, parlerò di application security pipeline, toccando più o meno nel dettaglio aspetti tecnici e cose nerd.

Accanto a dawnscanner ho deciso di riprendere in mano il codice di Owasp Orizon. Ci ho pensato su tanto, nel nostro mondo, sono pochi i tool di code review per Java che siano opensource, quindi iniziamo subito col dire che toglierò il supporto a PHP, che pure era in fase molto embrionale.

Rispetto al me stesso di 6 anni fa, tanti gli anni passati dagli ultimi commit al repository, che nelle funzionalità è fermo da ben oltre, ho maturato la convinzione che stessi sbagliando completamente approccio.

Mi sforzavo di voler costruire un parser per java, per analizzare il codice sorgente e non il bytecode compilato. Avevo la forte convinzione che dovessi dedicarmi al sorgente, perché non potevo analizzare un bytecode generato “non sapevo bene come”. Tuttavia, in esecuzione, c’è proprio quel bytecode ed è quello, con le ottimizzazioni random del compilatore, che deve essere testato. Lo so, a leggerla così è una conclusione banale, ma ero proprio convinto su quella strada all’epoca.

Cosa più importante, partirò dall’analisi di APK. Devo ancora decidere se cambiare il nome o lasciare quello originale.

Un rientro quindi tra grandi progetti, tre talk da preparare e questo blog da ristrutturare a livello di layout. Avrei dovuto farlo in estate, ma me la sono proprio voluta godere.

Enjoy it!

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto
comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla mailing list