Ci sono molti diversi indicatori di sicurezza che puoi cercare.
In particolare pubblicano pubblicamente informazioni sulle loro patch di sicurezza?
Possono fornire i risultati del test di penetrazione più recente o i risultati di un'analisi del codice statico? Quanto spesso eseguono il test dei loro sistemi e software? Riesci a trovare eventuali CVE relativi al software in questione e, in caso affermativo, quanto tempo è occorso per l'azienda per rispondere e per creare la patch?
Oltre ai consigli di techraf sulla ricerca del nome della società e su alcuni termini di sicurezza, vedi se sono cause legali contro l'azienda, puoi farlo cercando "vs. nome della società". La società dispone di un sito Web di sicurezza formale, di un'e-mail o di un processo per segnalare problemi di sicurezza? Sono i loro forum indipendenti o di settore in cui le persone parlano di lavorare con il software delle aziende? puoi cercare in questo sito per problemi di sicurezza? In alcuni casi è anche possibile chiedere a una società una copia delle proprie politiche di sicurezza che potrebbero o meno fornire indicazioni sul loro livello di maturità. Alcune società ti permetteranno di parlare direttamente con il loro team di sicurezza se lo chiedi. ecc ...
Se la società è una piattaforma Software as a service (SAAS) puoi trovare informazioni sulle informazioni sulle minacce relative ai loro IP? (possibile gratuitamente o tramite un servizio commerciale). Allo stesso modo ci sono un sacco di semplici test per vedere quanto sia ben mantenuta la loro sicurezza web, i cifrari utilizzati, le intestazioni di sicurezza del server Web configurate sul loro server web, i dettagli pki, il pinning dei certificati, ecc. Potresti prendere un proxy di penetration testing come Burp Suite pro e "passivamente" naviga sul sito web e vedi quali sono i problemi di sicurezza che si presentano (fai attenzione e non scannerizzali senza permesso, per favore non farlo se non hai familiarità con lo strumento).
Se trovi problemi, vedi se è in grado di determinare la durata di tali problemi . È stato un bug che Internet nel suo complesso si è preso cura di qualche anno fa? o qualcosa che è uscito stamattina?
Se guardi continuamente i tuoi venditori, una cosa divertente da guardare è la frequenza delle patch. Anche sui siti web o le applicazioni che usano puoi quasi sempre trovare informazioni sulla versione di qualche tipo e controllare se è attuale e guardare per vedere fino a quando l'azienda aggiorna le cose. Se si scrive questo script, è possibile creare grafici di patching per determinare quanto sono attivi sulle cose. È una metrica di salute molto utile.
Alla fine ci sono problemi con tutti questi metodi che dovrai capire per prendere una buona decisione. Avere una causa contro un'azienda non significa affatto che sia male. I risultati di ricerca di Google per la sicurezza non indicano se il problema è stato gestito in modo professionale o insufficiente. E le persone arrabbiate su Internet potrebbero dire cose cattive che potrebbero anche non essere vere. Quindi, quando ti concentri su queste cose, vedi se riesci a rilevare gli indicatori di maturità nel loro programma e anche i segnali di risposte rapide ai problemi. Ogni azienda finirà per avere dei brutti giorni ma se impareranno o no da essa e maturerà ciò che diventerà importante a lungo termine.
Puoi anche assumere società per fare analisi sulla sicurezza dei fornitori per te. Sono spesso assunto come tester di penetrazione per testare tutti i tipi di applicazioni e software di terze parti che vengono utilizzati in un'ampia varietà di modi. Se vuoi solo risultati rapidi, qualcuno che lo fa professionalmente può probabilmente accedere alle informazioni critiche molto più velocemente.
Senza ulteriori informazioni, non posso specificarti specificamente cosa testare, ma spero che queste informazioni e i commenti di techraf possano aiutarti.