In generale, i consensi all'interno della comunità di sicurezza sono che divulgare le pratiche di sicurezza (ovvero la trasparenza) porta a una maggiore sicurezza. La trasparenza ha molti vantaggi:
-
Ti dà la motivazione per fare la sicurezza giusta. A volte, fare la cosa giusta per la sicurezza è fastidioso o costoso, e non avere nessuno in grado di rendere conto rende la tentazione di non farlo nel modo giusto. Quando tutti possono vedere cosa stai facendo, hai più motivi per fare le cose correttamente.
-
Significa che più persone possono esaminare ciò che stai facendo male. Un sistema aperto può essere analizzato da molte più persone che possono suggerire miglioramenti. In generale, si presume che gli aggressori motivati troveranno comunque queste debolezze, quindi più persone oneste possono vedere le debolezze più è probabile che i punti deboli vengano segnalati in modo tempestivo. L'alternativa è vivere beatamente e conoscere solo un problema una volta che l'aggressore lo ha sfruttato.
-
Significa che sei sicuro del tuo design. La sicurezza è difficile da fare bene e molte persone nascondono le loro pratiche di sicurezza perché le loro pratiche apparirebbero male. Rendendolo aperto mostra che non sei solo a tuo agio con loro, ma che sei disposto a risolvere i problemi che si presentano.
-
Permette agli altri di imparare dalle cose che fai nel modo giusto o sbagliato. Questo ha un piccolo beneficio diretto per te, ma consente ad altri di beneficiarne.
Detto questo, la trasparenza è davvero utile solo se prevedi di rispondere a problemi di sicurezza. Se non ci stai pianificando, la trasparenza può causare problemi perché fai in modo che gli aggressori lavorino meno duramente per trovare le vulnerabilità.
PCI è uno standard pubblico a cui molte persone si conformano, quindi è improbabile che molti dei dettagli relativi alla tua implementazione siano davvero unici. È possibile che il tuo capo non pensi che le informazioni sulla proposta di conformità PCI sarebbero dannose.