Come ottenere credibilità per la tua applicazione?

3

Diciamo che hai creato un'applicazione. Non è molto importante quale tipo di applicazione, ma la sicurezza dell'applicazione è una funzionalità molto importante.

Come procedi per ottenere una certa credibilità che la tua applicazione sia sicura?

Ovviamente, si potrebbe semplicemente dire "sì, è molto sicuro perché utilizza la crittografia avanzata (nome dell'algoritmo della plug-in qui) e ..." ma è solo una diceria. Hai bisogno di una prova migliore? Quindi, cosa può aiutare a convincere gli altri che la tua applicazione è sicura?

    
posta Gudradain 26.01.2017 - 22:45
fonte

3 risposte

5

Ci sono diversi approcci popolari a questo.

In primo luogo, ottenere un revisore indipendente di terze parti per garantire per voi. Questo è più efficace se è fatto da un nome noto (ad esempio, ottenere Troy Hunt per garantire te, o Charlie Miller se sei sul sistema operativo Apple), o un nome familiare enorme (se il tuo mercato di riferimento non è tecnico / gente non di sicurezza) - es E & Y o Accenture.

Facendo questo un ulteriore passo avanti, puoi ottenere l'accreditamento da una normativa o certificazione di terze parti. Questo è probabilmente il più popolare, e IMO probabilmente il meno efficace.
Questo potrebbe variare da PCI-DSS (che dovresti fare comunque se gestisci le carte di credito), fino al famigerato "HackerSafe" (penso che sia chiamato "McAfeeSECURE !! 1!" Ora). In ogni caso, in realtà non mostra alcuna qualità reale, e in alcuni casi è facilmente falsificato. tosse

C'è una terza opzione, che è molto più difficile da fare bene, ma molto più efficace in particolare con quelli che più capiscono cosa significhi. Questa opzione richiede due passaggi:

  1. In realtà essere sicuri e avere un processo strong per garantire questo;
  2. Condivisione dei dettagli di quel processo e di ciò che effettivamente comporta.

Essere sicuri è una domanda molto più ampia e fuori portata da questa risposta; condividere i dettagli è ovviamente molto meno comune nelle grandi aziende, anche se sto iniziando a vederlo in più start-up e imprese ancora più grandi, ma tecniche.

Questo potrebbe includere informazioni sul tuo SDLC; spiegazioni dei tuoi requisiti di sicurezza; dettagli tecnici sulla tua implementazione; possibilmente un bug bug aperto, ma almeno una dichiarazione di risposta ai ricercatori ( e follow-through! ); forse anche aprendo la tua base di codice, se pertinente; e così via e così via.

Ovviamente è necessario un esperto esperto in sicurezza per aiutarti a garantire la sicurezza della tua applicazione; un ottimo strumento potrebbe aiutarti ad "aprire il kimono" in modo produttivo, ma sicuro. Fatto bene, questo potrebbe anche aumentare gli sforzi di marketing, e ancora non rivelare dettagli sensibili che potrebbero aiutare un aggressore a ignorare i controlli.

È interessante notare che spesso i professionisti della sicurezza della vecchia scuola (specialmente quelli con un background aziendale) insistono nel non rivelare nulla; ma non solo se questo non aumenta affatto il rischio o la superficie di attacco (se fatto bene), può sicuramente aiutare a dissipare qualsiasi potenziale paura o preoccupazione dei clienti, specialmente se capiscono cosa stanno leggendo.
Assicurati di avere qualcuno che sappia cosa stanno facendo.

    
risposta data 26.01.2017 - 23:26
fonte
2

Di gran lunga il modo più semplice per guadagnare credibilità:

  1. Crea un'app sicura.
  2. Pubblica il codice sorgente.
  3. Utilizza feedback e critiche per migliorare l'app mentre crei credibilità.

Software incentrato sulla sicurezza che è in qualche modo sicuro, come Signal Private Messenger o SELinux ha questo in comune, ed è un modo per guadagnare credibilità.

In mancanza di consentire la verifica e la verifica del codice, marketing può generare generalmente un senso di credibilità e sicurezza per il mercato non orientato alla sicurezza (la maggior parte del mercato).

    
risposta data 26.01.2017 - 23:10
fonte
1

Offri pubblicamente di coprire i tuoi clienti per eventuali perdite. Lifelock, ad esempio, offre una copertura di $ 1 milione se la tua identità viene rubata mentre ti abboni al servizio.

Ora, forse non hai un milione di dollari. Ma puoi ottenere una polizza assicurativa sulla sicurezza informatica pagando una commissione (proprio come qualsiasi altra polizza assicurativa). Immagino che la compagnia assicurativa vorrà ispezionare il tuo codice e chiedere che soddisfi determinati standard, o almeno tenerlo in deposito.

    
risposta data 28.01.2017 - 02:44
fonte

Leggi altre domande sui tag