czwartek, 19 styczeń 2017 17:38

Całkowita jawność otwartych systemów crm

Przyczyna

Główną przyczyną dla której zdecydowaliśmy się na takie podejście jest nadwyraz duża arogancja i ignoracja producentów oprogramowania, którzy często deklarują liczne audyty bezpieczeństwa i zapewniając o wdrożonych praktykach usypiają czujność firm i dostawców którzy korzystają z danego rozwiązania. Z drugiej strony mamy licznych dostawców, którzy najczęściej czerpią z danego rozwiązania a sami w żaden sposób nie wpływają ani na bezpieczeństwo ani na jakość dostarczanych rozwiązań do swoich klientów. W naszej opinii dostawca powinien wspierać producenta, dlatego całkowita jawność wskaże na ile obecność dostawcy wpływa pozytywnie lub negatywnie na produkt końcowy jaki otrzymuje klient. 

Praktyka pokazywała, że nawet jeżeli błąd był zgłaszany bezpośrednio do producenta, to producent błąd ten ignorował albo poprzez niepublikowanie łatki, albo zadając niepotrzebne pytania na które sam sobie mógł odpowiedzieć albo wydając łatkę bezpieczeństwa po kilku miesiącach. Należy zacząć sobie zdawać sprawę z odpowiedzialności jaka spoczywa na producencie, dostawcy i kliencie, ponieważ w systemach klasy CRM są bardzo często przechowywane poufne i wrażliwe dane o firmach, które nigdy nie powinny ujrzeć światła dziennego.

Każde oprogramowanie musi wdrożyć politykę polegającą na adytowaniu kodu i wdrażania procedur bezpieczeństwa. Jeżeli w jeden dzień można w danym oprogramowaniu znaleźć kilkanaście błędów krytycznych to oznacza, że oprogramowanie takie nigdy nie przeszło prawdziwego audytu bezpieczeństwa. Publikując podstawowe błędy chcemy na producentach wymusić zmianę podejścia, ponieważ już teraz błędy innych producentów wpływają na to jak rozwiązania open source są odbierane przez naszych klientów. 

Zasady

Gdy znajdziemy błąd w systemie YetiForce to jednocześnie będziemy go weryfikować w podobnych projektach tj. VtigerCRM, SuiteCRM, coreBOS. W ten sposób przy niewielkim nakładzie pracy, będziemy testować bezpieczeństwo w kilku systemach jednocześnie. Każdy znaleziony błąd będzie weryfikowany i dokumentowany w minimalnym stopniu, dlatego, że najważniejsze jest znalezienie podatności i jak najszybsze jej poprawienie. Gdy znajdziemy błąd w oprogramowaniu trzecim, wówczas najpierw sprawdzimy czy na pewno nie występuje w systemie YetiForce. Jeżeli firma YetiForce znajdzie błąd bezpieczeństwa który dotyczy systemu trzeciego, wówczas opisze ten błąd na swojej stronie oraz jednocześnie zgłosi go producentowi w jego systemie zgłoszeń lub drogą mailową.

Efekt końcowy

Nie może być tak, że w systemie używanym przez tysiące firm jest tak wiele krytycznych podatności, że średniej klasy specjalista od bezpieczeństwa znajdzie ich kilka/kilkanaście w ciągu jednego dnia. Piętnowanie takich systemów i takich producentów z perspektywy czasu sprawi, że zaczną oni przeznaczać większe środki na bezpieczeństwo i będą dążyć do polepszenia jakości swojego produktu. Jeżeli producent uważa, że przechodzi liczne audyty bezpieczeństwa a pomimo tego można w jego produktach znaleźć - przy niewielkim nakładzie pracy - dziesiątki błędów, to oznacza, że warto zastanowić się, czy firma wybrana do audytu jest rzeczywiście najlepszym wyborem. Każdy producent musi określić swoje słabe punkty i dążyć do ich wyeliminowania. Czasami słabym punktem bezpieczeństwa, jest właśnie firma audytująca. 

Najważniejsze jest jednak to, że osoby poprawiające błędy bezpieczeństwa będą poszerzać swoją wiedzę i kompetencje, co z perspektywy czasu przyniesie tylko i wyłącznie korzyści producentowi, dostawcom i co najważniejsze klientowi końcowemu. 

Przeczytano 450 razy