.. _vulnerabilityManagement:

Introduzione
-------------------------------

Le potenziali vulnerabilità sono gestite nel progetto GovWay in accordo a processi rigorosi e documentati. La segnalazione di una potenziale vulnerabilità può avvenire tramite diverse fonti:

- l'analisi delle librerie terza parte, descritta nella sezione :ref:`releaseProcessGovWay_thirdPartyDynamicAnalysis_ci`, rileva una vulnerabilità tramite il tool `OWASP Dependency-Check <https://owasp.org/www-project-dependency-check/>`_;

- i test di sicurezza, descritti nella sezione :ref:`releaseProcessGovWay_dynamicAnalysis_security`, rilevano un nuovo problema o una regressione;

- dagli utenti di GovWay tramite l'apertura di un `GovWay Issue <https://github.com/link-it/govway/issues/>`_.

Qualunque sia la provenienza, la segnalazione viene immediatamente analizzata al fine di verificare:

- se si tratta di un falso positivo e in tal case registrarlo come tale: :ref:`vulnerabilityManagement_skip_registry`;

- se si tratta di una vulnerabilità con un effettivo impatto sul software GovWay; in tal caso viene registrato un nuovo avviso di sicurezza ed avviato il processo di risoluzione, così come descritto nella sezione :ref:`vulnerabilityManagement_securityAdvisory`.