La responsabile della sicurezza in Oracle non gradisce i controlli di sicurezza dei propri clienti
La responsabile della sicurezza di Oracle ha pubblicato sul proprio blog un post, poi rimosso, nel quale si lamentava dei report di sicurezza che i clienti dell’azienda inviavano continuamente al suo ufficio. Mary Anne Davidson, questo il suo nome, affermava che i clienti dovrebbero smettere di sostituirsi ad Oracle e cercare vulnerabilità nei software della casa americana.
Tra l’altro, Davidson afferma che questo sia contrario all’accordo di licenza che Oracle stipula perché tali report spesso deriverebbero da un reverse-engineering del codice binario in codice sorgente, una operazione espressamente proibita ed in questi casi la casa statunitense procede a diffidare azienda ed eventuali consulenti dall’effettuare nuovamente questa operazione ed a distruggere tutte le copie dei sorgenti riprodotti.
Nel corso del post veniva evidenziato come Oracle produca certificazioni di sicurezza in relazione al proprio codice e Davidson affermava che spesso le segnalazioni si compongono di grandi stampe del loro codice che vengono prodotte con l’aiuto di tool di analisi statiche o dinamiche nelle quali vengono indicati possibili problemi di sicurezza “qui, qui e qui”. Oracle invece richiede che, per ognuna delle segnalazioni, venga aperta una richiesta separata e fornito del codice che possa dimostrare la possibile esistenza di una vulnerabilità.
Sebbene il messaggio avesse delle argomentazioni plausibili, il tono complessivo del post tradiva grande insofferenza per le preoccupazioni dei clienti riguardo a possibili falle di sicurezza nei prodotti di Oracle, al limite dello scherno. Oracle ha infatti rimosso prontamente l’elemento e comunicato che quest’ultimo è stato cancellato perché “non riflette la posizione di Oracle né la relazione che l’azienda vuole avere con i propri clienti”. Come mai la responsabile della sicurezza dell’azienda non sia allineata con le posizioni di Oracle e non gestisca correttamente le relazioni con i propri clienti rimane comunque un interrogativo al quale non è stata data risposta.
Leave a Response