Differences

This shows you the differences between two versions of the page.

--- teaching_activities:cvss [2016/05/03 13:19] – luca.allodi@unitn.it
+++ teaching_activities:cvss [2021/01/29 10:58] (current) – external edit 127.0.0.1
@@ Line 1: / Line 1: @@
-{{:teaching:cvss:unitn.png?200 |http://disi.unitn.it}}{{:teaching:cvss:oracle_comsec.png?250 |https://www.oracle.com/it/technologies/security/partner-171975-ita.html}}{{:teaching:cvss:clusit_logo.jpg?130 |http://www.clusit.it}}{{:teaching:cvss:logo.uff.da.marcomm.aused_logo.png?150 |http://www.aused.org}}
+[[http://disi.unitn.it|{{:teaching:cvss:unitn.png?200 |http://disi.unitn.it}}]] [[https://www.oracle.com/it/technologies/security/partner-171975-ita.html|{{:teaching:cvss:oracle_comsec.png?250 |}}]] [[http://www.clusit.it|{{:teaching:cvss:clusit_logo.jpg?130 |}}]] [[http://www.aused.org|{{:teaching:cvss:logo.uff.da.marcomm.aused_logo.png?150 |}}]]
 ====== Training day on the usage of the Common Vulnerability Scoring System ======
-The University of Trento, with the support of Oracle Community for Security, Clusit, and Aused holds a training day for security professionals on the [[https://www.first.org/cvss|Common Vulnerability Scoring System (CVSS)]], the worldwide standard for software vulnerability scoring.
+The [[:start|Security Group of the University of Trento]], with the support of [[https://www.oracle.com/it/technologies/security/partner-171975-ita.html|Oracle Community for Security]], [[http://www.clusit.it|Clusit]], and [[http://www.aused.org|Aused]] holds a training day for security professionals on the [[https://www.first.org/cvss|Common Vulnerability Scoring System (CVSS)]], the worldwide standard for software vulnerability scoring.
 ===== Training day – executive summary (English) =====
@@ Line 18: / Line 18: @@
 The course will be held in Italian, but all the material will be in English.
-What follows is an activity description (in Italian) of the training day. For any information feel free to contact luca [dot] allodi [at] unitn [dot] it.
+What follows is general introduction to the standard and a few details to subscribe to this event (in Italian).
+For information on replicating this course or technical content please contact <luca.allodi@unitn.it>
+For registration information, please see below at the end.
+===== Descrizione del corso (Italian) =====
-Descrizione del corso
 L’Università degli Studi di Trento, con il patrocinio di Oracle Community for Security, Clusit, ed Aused offre una giornata di training a titolo gratuito per professionisti sull’utilizzo del Common Vulnerability Scoring System (CVSS), lo standard mondiale per la valutazione delle vulnerabilità nel software.
@@ Line 29: / Line 33: @@
 La giornata di training comprende:
-•	Presentazione CVSS v3
+  * Presentazione CVSS v3
-•	Descrizione delle metriche e loro nuove definizioni
+  * Descrizione delle metriche e loro nuove definizioni
-•	Discussione approfondita del loro utilizzo, con esempi
+  * Discussione approfondita del loro utilizzo, con esempi
-•	Scoring exercise collettivo su un sample di vulnerabilità
+  * Scoring exercise collettivo su un sample di vulnerabilità
-•	Scoring exercise individuale su un set di vulnerabilità
+  * Scoring exercise individuale su un set di vulnerabilità
-•	Discussione finale
+  * Discussione finale
 Il corso si terrà in italiano, mentre il materiale fornito sarà in lingua inglese.
-Introduzione al CVSS
+==== Introduzione al CVSS ====
 Il Common Vulnerability Scoring System è lo standard di riferimento nell’industria per la valutazione delle vulnerabilità nel software.
@@ Line 49: / Line 54: @@
 L’utilizzo corretto di CVSS da parte dell’assessor richiede:
--	La capacità di interpretare correttamente la vulnerabilità, e di identificare ulteriori fonti di informazioni per chiarire la sua descrizione.
+  * La capacità di interpretare correttamente la vulnerabilità, e di identificare ulteriori fonti di informazioni per chiarire la sua descrizione.
--	La capacità di estrarre dalla descrizione elementi chiave su vettori di attacco, complessità, ed impatto.
+  * La capacità di estrarre dalla descrizione elementi chiave su vettori di attacco, complessità, ed impatto.
--	La capacità di mappare correttamente le caratteristiche della vulnerabilità nello standard.
+  * La capacità di mappare correttamente le caratteristiche della vulnerabilità nello standard.
 La Figura sottostante esemplifica schematicamente l’attività dell’assessor.
+ {{ :teaching:cvss:scoring_complexity.png?nolink&800 |}}
+==== Profili dei partecipanti ====
-Profili dei partecipanti
 Il training è offerto a professionisti del settore security di ogni organizzazione.
@@ Line 64: / Line 71: @@
 È richiesta inoltre:
--	Una conoscenza base dei diversi tipi di vulnerabilità, come ad esempio XSS, Privilege Escalation, SQL injection, Overflow di buffer in memoria, etc.
+  * Una conoscenza base dei diversi tipi di vulnerabilità, come ad esempio XSS, Privilege Escalation, SQL injection, Overflow di buffer in memoria, etc.
--	Conoscenza della lingua inglese per la lettura e comprensione delle descrizioni delle vulnerabilità e delle definizioni dello standard.
+  * Conoscenza della lingua inglese per la lettura e comprensione delle descrizioni delle vulnerabilità e delle definizioni dello standard.
+==== Modalità di iscrizione. ====
-Modalità di iscrizione.
 Contattare la Oracle Security Community: <securityCommunity_it@oracle.com>
+==== Agenda della giornata ====
+.00 -> 11.30: introduzione al CVSS base score ed esercizi
+.30 -> 11.45: break
+.45 -> 13.30: vulnerability assessment exercise individuale
+.30 -> 14.30: pausa pranzo
+.30 -> 16.00: introduzione alle metriche CVSS Scope, Temporal ed Environmental ed esercizi