¿Está buscando un nuevo software, comprobando su historial de seguridad?

Verifique si tienen una página de "seguridad" que describa cómo quieren que se les informe de las vulnerabilidades. Si están abiertos a la divulgación responsable, es muy probable que hagan la seguridad de la manera correcta, y le daría cierta confianza de que, en caso de que se descubra una vulnerabilidad, lo solucionarán rápidamente.

También eche un vistazo para ver si tienen algún código de fuente abierta publicado, si es así, puede leerlo y, posiblemente, ver si el código cumple con los buenos estándares o si es un desastre propenso a errores que puede tener vulnerabilidades. No está garantizado, pero existe una gran posibilidad de que si su código de fuente abierta es horrible, también lo sea el código de su propiedad que estaría usando.

Por último, vea qué tipo de compañía son: ¿están fabricando legítimamente productos geniales y ganando dinero con eso, o venden cosas obsoletas, no interoperables y propensas a los errores a propósito para que tenga que pagarles por una consulta? Inmediatamente me escaparía de tal compañía .

Un poco no relacionado con la seguridad, pero me gustaría agregar de todos modos: se comercializa una gran cantidad de software empresarial / contabilidad / etc para atraer a las personas a cargo de comprarlo (usted) mediante una sobredosis de palabras de moda en lugar de La gente que realmente lo usará. Intente obtener una demostración de su software, entréguelo a las personas que realmente lo utilizarán (sus contadores, etc.) y vea qué piensan de ellos ellos . He visto demasiadas aplicaciones que se veían muy bien en el papel y la administración estaba entusiasmada, pero la experiencia del usuario era tan mala que el software no valía ni un centavo si realmente quería ser productivo con él.

Tal vez no sea exactamente lo que está buscando pero puede verificar si su software tiene un buen o mal registro en términos de vulnerabilidades. Solo busca el nombre del software en Google y luego "explota" o "vulnerabilidad". Si existe algo, será dirigido a enlaces de CVEs correspondientes o enlaces en DB de exploit o similar.

Intente buscar en la Base de datos de vulnerabilidad nacional de NIST para su proveedor y sus productos. Incluso si no se encuentra el software exacto que está considerando, tal vez ver CVE para otros productos del proveedor puede ser perspicaz. ¿Los CVE son casi todos reportados por terceros o el proveedor reporta muchos de ellos? Este último es un signo de que la empresa toma la seguridad más en serio que la mayoría.

Busque en sus páginas de seguridad un programa de recompensas de errores. Cada vez son más los proveedores que ofrecen estos programas para ampliar la red ante vulnerabilidades de software. La existencia de tal programa es un indicador positivo de que la empresa se toma en serio la posibilidad de ofrecer un software más seguro. Para promover dichos programas, HackerOne fue creado por líderes de seguridad de Facebook, Microsoft y Google. HackerOne proporciona coordinación de vulnerabilidades y una plataforma de recompensas de errores.

Como lo indica la calidad y seguridad de @andreborie están altamente correlacionadas. Si el código está mal escrito, será difícil de asegurar.

El lenguaje de su contrato debe incluir incentivos para que el software se adhiera a estándares de codificación y seguridad más altos y imponga consecuencias por violaciones graves de dichos estándares. Los criterios para el mejor valor (en comparación con el costo más bajo o el más alto técnico) deben incluir los requisitos de garantía de software (no debe confundirse con el programa de marketing de Microsoft). A las compañías de software que se desempeñan bien (o no) con estos criterios se les debe dar el peso debido en las evaluaciones de la propuesta y del desempeño anterior.

Para ver un ejemplo de un conjunto sólido de dichos criterios, consulte Tipos de control de seguridad de software apropiados para proveedores de productos y servicios de terceros , por el Grupo de trabajo de seguridad de software de terceros FS-ISAC versión 2.3 / octubre de 2015. Líderes líderes de software y de la industria financiera contribuyeron a este excelente documento. El FS-ISAC es la referencia más creíble, actual y completa que conozco.

Muchas herramientas de garantía de software incluyen cláusulas que prohíben que el usuario publique cualquier comparación con otras herramientas. Tales restricciones en la investigación retrasan las mejoras técnicas y hacen que sea muy difícil para los compradores realizar una investigación informada del mercado y una evaluación comparativa para determinar qué herramienta o herramientas son más beneficiosas para ellos. El lenguaje del contrato debe permitir a los compradores de una herramienta publicar comparaciones.

Si se refiere al historial de seguridad de un producto, puede buscar el producto en enlace Puede haber algunas vulnerabilidades de ejecución o inyección de código, si hay muchas de ellas, puede evaluarlas fácilmente.