-
Quando ha senso, o è comune a non avere accesso per resuts / report di audit di sicurezza quando si tratta di grandi aziende chi usa il tuo software?
-
Come si può fare un caso per i benefici della condivisione della documentazione lacune di sicurezza e quali sono i rischi di non rivelare questo informazioni?
Scenario ipotetico:
The company MediumSizedSoftwareCorp was recently approached by one of its customers, SuperGiantMegaCorp to conduct a security audit of MediumSizedSoftwareCorp's platform (which they use).
The audit was conducted in relative secrecy by a security and compliance team at SuperGiantMegaCorp and managers at MediumSizedSoftwareCorp were informed that their software platform had "failed" the audit. Managers are both companies are in a tizzy because the security issues threaten to derail future contract growth.
Engineers at MediumSizedSoftwareCorp desperately want to remedy the security issues, but SuperGiantMegaCorp will only discuss the vulnerabilities by phone, leaving out specifics and discussing only in vague, general terms. Compounding this is the fact that auditors at SuperGiantMegaCorp refuse to share detailed audit report documents because of the "sensitive" nature of the documents.
Questo scenario sembra antitetico alla chiusura delle lacune nella sicurezza. Trasparenza e cooperazione sembrano opzioni migliori, ma come si costruisce un caso basato sull'evidenza per questo?