מה שבר את מנהלת האבטחה של אורקל?

למארי אן דייווידסון, מנהלת האבטחה של אורקל (Oracle), נמאס מהלקוחות של החברה שעורכים בעצמם בדיקות אבטחה למוצרי החברה. כל כך נמאס לה, שהיא הביעה את מרמורה על כך בבלוג הרשמי של החברה, והודיעה שהיא הולכת לשלוח מכתבי איום ללקוחות ולהבהיר להם שבעשותם כך, הם פוגעים בתנאי הרישיון של המוצר. לאחר פחות מיממה, הפוסט הבעייתי הוסר.

בכותרת הפוסט שהוסר, אשר חפרפרות אינטרנט טרחו לצלם ולשמור למקרה שהוא יוסר גם מגוגל (Google), כתבה דייווידסון: "לא, אתם באמת לא יכולים". בתוכו היא ציינה כי "באחרונה ראיתי קבוצה גדולה של לקוחות שעושות הנדסה לאחור בקוד שלנו, במטרה למצוא פרצות. ובכן, זאת הסיבה מדוע אני כותבת הרבה מכתבים ללקוחות: המכתבים מתחילים נחמד – 'שלום', 'היי', 'אלוהה' – ומסתיימים ב-'בבקשה תעמוד בתנאי הסכם הרישוי ותפסיק לעשות הנדסה לאחור לקוד שלנו'".

הפוסט של מנהלת האבטחה של אורקל, שהוסר

היא הוסיפה כי "גם אם הלקוח רוצה לקבל ודאות סבירה שספקיות IT דואגות בצורה סבירה לבניית מוצרים מאובטחים, עדיין, יש הרבה מה לעשות חוץ מלסרוק את הקוד. למשל, לדבר עם הספק ולוודא מולו את תכניות ההבטחה לאבטחה, ולוודא שהוא עומד בתקני אבטחה מחמירים".

דייווידסון המשיכה: "לרוב ספקיות ה-IT יש תוכניות להבטיח את האבטחה, ואלו תכניות חזקות למדי. אסור שלקוח יחשוב, 'היי, אני אעשה את העבודה של ספקית ה-IT עבורו'. וגם אם הוא חושב שהוא יכול לעשות זאת, אז הוא לא. לא רק כי אסור לו, אלא גם כי כלי הסריקה שברשותו לא יכולים להבחין בין פרצה אמיתית ושגויה, שתביא להתרעת שווא. לקוח לא יכול ליצור הטלאה לבעיה – רק הספק יכול לעשות זאת. בעשותו כך, הלקוח מפר כמעט בוודאות את הסכם הרישיון, על ידי שימוש בכלי שעושה ניתוח סטטי, הפועל נגד קוד המקור. דו"ח סריקה הוא לא הוכחת פגיעות בפועל".

הפוסט היה באוויר שלשום (ג') למשך פחות מיממה, בטרם הוסר בשקט. אבל בבלוג שלה יש עדיין פוסטים אחרים בנושא של לקוחות מציקים ויועצי אבטחה מתערבים, עם כותרת כגון, "אלה שלא יכולים לעשות – עורכים בקרה", או התייחסות שלה למקצועני אבטחה כ"פלצני אבטחה".

לא התקבלה תגובה מאורקל מדוע הפוסט של דייווידסון הוסר.