Główną przyczyną, dla której zdecydowaliśmy się na takie podejście, jest nad wyraz duża arogancja i ignorancja producentów oprogramowania. Często deklarują oni liczne audyty bezpieczeństwa i, zapewniając o wdrożonych praktykach, usypiają czujność firm i dostawców, którzy korzystają z danego rozwiązania. Z drugiej strony mamy licznych dostawców, którzy najczęściej czerpią z danego rozwiązania, a sami w żaden sposób nie wpływają ani na bezpieczeństwo ani na jakość rozwiązań dostarczanych do swoich klientów. W naszej opinii dostawca powinien wspierać producenta, dlatego całkowita jawność wskaże, na ile obecność dostawcy wpływa pozytywnie lub negatywnie na produkt końcowy, jaki otrzymuje klient.
Praktyka pokazywała, że nawet jeżeli błąd był zgłaszany bezpośrednio do producenta, to producent błąd ten ignorował albo poprzez niepublikowanie łatki, albo zadając niepotrzebne pytania, na które sam sobie mógł odpowiedzieć, albo wydając łatkę bezpieczeństwa po kilku miesiącach. Należy zacząć sobie zdawać sprawę z odpowiedzialności jaka spoczywa na producencie, dostawcy i kliencie, ponieważ w systemach klasy CRM są bardzo często przechowywane poufne i wrażliwe dane o firmach, które nigdy nie powinny ujrzeć światła dziennego.
Każde oprogramowanie musi wdrożyć politykę polegającą na audytowaniu kodu i wdrażaniu procedur bezpieczeństwa. Jeżeli w jeden dzień można w danym oprogramowaniu znaleźć kilkanaście błędów krytycznych, to oznacza, że oprogramowanie takie nigdy nie przeszło prawdziwego audytu bezpieczeństwa. Publikując podstawowe błędy, chcemy na producentach wymusić zmianę podejścia, ponieważ już teraz błędy innych producentów wpływają na to, jak rozwiązania open source są odbierane przez naszych klientów.
Zasady
Gdy znajdziemy błąd w systemie YetiForce, to jednocześnie będziemy go weryfikować w podobnych projektach, tj. VtigerCRM, SuiteCRM, coreBOS. W ten sposób, przy niewielkim nakładzie pracy, będziemy testować bezpieczeństwo w kilku systemach jednocześnie. Każdy znaleziony błąd będzie weryfikowany i dokumentowany w minimalnym stopniu, dlatego że najważniejsze jest znalezienie podatności i jak najszybsze jej poprawienie. Gdy znajdziemy błąd w oprogramowaniu trzecim, wówczas najpierw sprawdzimy, czy na pewno nie występuje w systemie YetiForce CRM. Jeżeli firma YetiForce znajdzie błąd bezpieczeństwa, który dotyczy systemu trzeciego, wówczas opisze ten błąd na swojej stronie oraz jednocześnie zgłosi go producentowi w jego systemie zgłoszeń lub drogą mailową.
Efekt końcowy
Nie może być tak, że w systemie używanym przez tysiące firm jest tak wiele krytycznych podatności, że średniej klasy specjalista od bezpieczeństwa znajdzie ich kilka/kilkanaście w ciągu jednego dnia. Piętnowanie takich systemów i takich producentów z perspektywy czasu sprawi, że zaczną oni przeznaczać większe środki na bezpieczeństwo i będą dążyć do polepszenia jakości swojego produktu. Jeżeli producent uważa, że przechodzi liczne audyty bezpieczeństwa, a pomimo tego można w jego produktach znaleźć (przy niewielkim nakładzie pracy) dziesiątki błędów, to oznacza, że warto zastanowić się, czy firma wybrana do audytu jest rzeczywiście najlepszym wyborem. Każdy producent musi określić swoje słabe punkty i dążyć do ich wyeliminowania. Czasami słabym punktem bezpieczeństwa jest właśnie firma audytująca.
Najważniejsze jest jednak to, że osoby poprawiające błędy bezpieczeństwa będą poszerzać swoją wiedzę i kompetencje, co z perspektywy czasu przyniesie tylko i wyłącznie korzyści producentowi, dostawcom i, co najważniejsze, klientowi końcowemu.
