# Secure AI SDLC

Integrare sicurezza, privacy e controlli tecnici nel ciclo di sviluppo software per applicazioni basate su AI.

- Durata: 4-6 ore, personalizzabili
- Modalità: Laboratorio in presenza o online, con esercizi guidati e materiali adattati al cliente.
- Profilo: Per team tecnici con basi di programmazione e architetture software.
- Output finale: Threat model AI e checklist Secure AI SDLC.
- Sceglierlo se: Quando un'organizzazione sta sviluppando applicazioni AI e vuole evitare che sicurezza e governance arrivino solo alla fine.

## Il problema che risolve

Le applicazioni AI introducono superfici di rischio nuove: prompt injection, data leakage, abuso del contesto, output non affidabili, dipendenze non governate, log sensibili e automazioni troppo permissive. Il corso struttura un SDLC sicuro per sistemi AI.

## Destinatari

Security engineer, AppSec, DevSecOps, software team, architect, risk manager tecnici, responsabili IT e compliance tecnica.

## Quando sceglierlo

Quando un'organizzazione sta sviluppando applicazioni AI e vuole evitare che sicurezza e governance arrivino solo alla fine.

## Risultati concreti

- Definire controlli SDLC AI-specifici.
- Costruire threat model.
- Scrivere secure design checklist.
- Impostare policy su dati e istruzioni.
- Stabilire test di sicurezza e criteri di rilascio.

## Programma

### 1. Rischi AI nel software

Minacce, abuso, confini e responsabilità.

### 2. Secure design

Data flow, trust boundaries, autorizzazioni e isolamento.

### 3. Secure build & test

Injection, output validation, test avversariali e dipendenze.

### 4. Secure release & operate

Logging, audit, incident response e change management.

## Esercitazioni pratiche

- Threat modeling di feature AI.
- Analisi data flow.
- Definizione controlli.
- Test di prompt injection.
- Review policy logging e accesso dati.

## Materiali consegnati

- AI threat model template.
- Secure AI SDLC checklist.
- Test plan sicurezza.
- Registro rischi.
- Criteri go/no-go.

## Dati, privacy e limiti

Adotta dati sintetici o casi approvati e tratta minimizzazione, segregazione, segreti, permessi, audit trail e riduzione esposizione nei log.

## Prerequisiti

Conoscenza base di SDLC, sicurezza applicativa, API e architetture software.

## FAQ

### È un corso compliance?

È principalmente tecnico, ma produce evidenze utili per governance e audit.

### Copre solo prompt injection?

No, include architettura, dati, permessi, log e test.

### È utile prima dello sviluppo?

Sì, il massimo valore arriva in fase di design.

### Dipende da uno stack?

No, i controlli si adattano allo stack.

[Torna al catalogo corsi](https://ar-tik.com/corsi/index.md)
