Alla ricerca di nuovo software, controllando la loro cronologia della sicurezza?

Controlla se hanno una pagina di "sicurezza" che descrive come vogliono che vengano segnalate le vulnerabilità. Se sono aperti alla divulgazione responsabile, c'è una buona possibilità che facciano la sicurezza nel modo giusto e ti darebbe una certa sicurezza che, se venisse rivelata una vulnerabilità, la sistemeranno rapidamente.

Dai anche un'occhiata per vedere se hanno pubblicato qualche codice open source, in tal caso potresti leggerlo e magari vedere se il codice è conforme ai buoni standard o è un disastro soggetto a bug che può avere exploit. Non è garantito, ma c'è una buona probabilità che se il loro codice open source sia orribile, lo stesso è il loro codice proprietario che useresti.

Infine, vedi che tipo di azienda sono - stanno legittimamente realizzando ottimi prodotti e guadagni, oppure vendono roba obsoleta, non interoperabile e soggetta a bug, quindi devi pagarli per consultarli? Vorrei immediatamente scappare da una tale azienda .

Un po 'estraneo alla sicurezza, ma vorrei aggiungere comunque - un sacco di software aziendale / contabile / ecc. è commercializzato per fare appello alle persone incaricate di acquistarlo (te) da una overdose di buzz-words invece di le persone che effettivamente lo useranno. Cerca di ottenere una demo del loro software, darlo alle persone che lo useranno (i tuoi contabili, ecc.) E vedere cosa ne pensano loro . Ho visto troppe applicazioni che sembravano grandiose sulla carta e la gestione era entusiasta, ma l'esperienza dell'utente era così scarsa che il software non valeva nemmeno un centesimo se si voleva essere produttivi con esso.

Forse non esattamente quello che stai cercando, ma potresti verificare se il loro software ha una buona o cattiva registrazione in termini di vulnerabilità. Basta google per il nome del software e quindi "exploit" o "vulnerabilità". Se qualcosa esiste, verrai indirizzato a link di CVE o link corrispondenti su DB exploit o simili.

Prova a cercare il NIST National Vulnerability Database per il tuo fornitore e i suoi prodotti. Anche se il software esatto che stai considerando non viene trovato, forse vedere CVE per gli altri prodotti del fornitore può essere perspicace. Il CVE è quasi tutto segnalato da terzi o il venditore ne segnala molti? Quest'ultimo è un segno che l'azienda prende la sicurezza più seriamente di molti altri.

Guarda le loro pagine di sicurezza per un programma di bug bounty. Un numero crescente di venditori offre questi programmi per ampliare la rete per le vulnerabilità del software. L'esistenza di tale programma è un indicatore positivo che l'azienda è seria nell'offrire un software più sicuro. Per promuovere tali programmi, HackerOne è stato creato dai responsabili della sicurezza di Facebook, Microsoft e Google. HackerOne fornisce il coordinamento delle vulnerabilità e la piattaforma di bug bug.

Come suggerito da @andreborie, la qualità e la sicurezza sono altamente correlate. Se il codice è scritto male, sarà difficile da proteggere.

Il linguaggio del contratto dovrebbe includere incentivi affinché il software rispetti standard di codifica e assicurazione più elevati e imponga conseguenze per gravi violazioni di tali standard. I criteri per il miglior valore (rispetto al costo più basso o al più alto livello tecnico) dovrebbero includere i requisiti per garanzia del software (da non confondere con il programma di marketing di Microsoft). Alle società di software che ottengono buoni risultati (o meno) rispetto a questi criteri deve essere attribuito il giusto peso nelle valutazioni delle proposte e delle prestazioni passate.

Per un esempio di un solido insieme di tali criteri, vedere Tipi appropriati di controllo della sicurezza del software per servizi di terze parti e fornitori di prodotti , dal gruppo di lavoro sulla sicurezza del software di terze parti di FS-ISAC Versione 2.3 / ottobre 2015. I principali software e leader del settore finanziario hanno contribuito a questo eccellente documento. L'IS-ISAC è il riferimento più credibile, attuale e completo di cui sono a conoscenza.

Molti strumenti di assicurazione software includono clausole che vietano all'utente di pubblicare qualsiasi confronto con altri strumenti. Tali restrizioni alla ricerca rallentano i miglioramenti tecnici e rendono molto difficile per gli acquirenti condurre ricerche di mercato e valutazioni comparative informate per determinare quali strumenti o strumenti sono più vantaggiosi per loro. La lingua del contratto dovrebbe consentire agli acquirenti di uno strumento di pubblicare confronti.

Se si intende la cronologia della sicurezza di un prodotto, è possibile cercare il prodotto dal collegamento Potrebbero esserci alcune vulnerabilità di esecuzione di codice o di iniezione, se ce ne sono molte, puoi valutare facilmente.