Verifique si tienen una página de "seguridad" que describa cómo quieren que se les informe de las vulnerabilidades. Si están abiertos a la divulgación responsable, es muy probable que hagan la seguridad de la manera correcta, y le daría cierta confianza de que, en caso de que se descubra una vulnerabilidad, lo solucionarán rápidamente.
También eche un vistazo para ver si tienen algún código de fuente abierta publicado, si es así, puede leerlo y, posiblemente, ver si el código cumple con los buenos estándares o si es un desastre propenso a errores que puede tener vulnerabilidades. No está garantizado, pero existe una gran posibilidad de que si su código de fuente abierta es horrible, también lo sea el código de su propiedad que estaría usando.
Por último, vea qué tipo de compañía son: ¿están fabricando legítimamente productos geniales y ganando dinero con eso, o venden cosas obsoletas, no interoperables y propensas a los errores a propósito para que tenga que pagarles por una consulta? Inmediatamente me escaparía de tal compañía .
Un poco no relacionado con la seguridad, pero me gustaría agregar de todos modos: se comercializa una gran cantidad de software empresarial / contabilidad / etc para atraer a las personas a cargo de comprarlo (usted) mediante una sobredosis de palabras de moda en lugar de La gente que realmente lo usará. Intente obtener una demostración de su software, entréguelo a las personas que realmente lo utilizarán (sus contadores, etc.) y vea qué piensan de ellos ellos . He visto demasiadas aplicaciones que se veían muy bien en el papel y la administración estaba entusiasmada, pero la experiencia del usuario era tan mala que el software no valía ni un centavo si realmente quería ser productivo con él.