[Owasp-brazilian] Segurança na web - Uma janela de oportunidades

Lucas Ferreira lucas.ferreira at owasp.org
Mon Apr 4 14:11:37 EDT 2011


Cima,

por favor pare de forçar a barra para chegar onde você deseja.
Distorcer os objetivos do documento não vai levar a nada. Nem eu nem o
OWASP empunhamos a bandeira de que "todo software deve ser livre".
Muito pelo contrário. Tanto o OWASP quanto eu defendemos o uso de
software proprietário e livre da melhor forma para atingir os
objetivos de cada organização.

Por favor contenha seu impulsos de Troll ou teremos de encerrar a discussão.

2011/4/4 Fernando Cima (SCOE) <fcima at microsoft.com>:
> Oi Lucas,
>
>>O documento não fala de punição aos profissionais. O documento fala em "possibilidade de punição para as organizações que não tomarem
>> providências adequadas para garantir a segurança de seus sistemas."
>
> O documento fala também em punição e responsabilização de fornecedores de software e de quem teve "atuação nociva", e em ambos os casos não existe distinção entre pessoas físicas e jurídicas.
>

Porfissionais de segurança não são nem fornecedores de software nem
tem atuação nociva. E os profissioanis liberais que fornecem software
devem ter as mesmas responsabilidades para com seus clientes que as
pessoas jurídicas.

>>Na minha visão, se a organização fez o dever de casa e ainda assim foi atacada com sucesso, as investigações lhe serão favoráveis ao mostrar que houve diligência.
>
> Ou não. Na dúvida não espere que você tenha colaboração. Na prática o assunto será abafado e a mentalidade será a de "cover your ass".
>

O que não é muito diferente do que se vê hoje. Qual seria a sua
sugestão a respeito?

>> Como no caso de licenças open-source não há necessidade de pagamento pelo software, e o texto prevê que
>> "Para evitar distorções no mercado de software, a responsabilidade dos fabricantes pode ser limitada ao valor pago pelo sistema.",
>> pode facilmente chegar a um texto legal que mantenha essas licenças como aceitáveis.
>
> O uso de licenças como a GPLv2 não impede o pagamento pelo software, apenas condiciona a sua distribuição aos direitos de acesso ao código fonte, modificação e redistribuição.
>
> Agora alto lá, quer dizer que a responsabilidade dos fornecedores só valeria para quem não desenvolve com licenças 'open source'? Qual é a real finalidade deste paper, é melhorar a segurança da Web, ou ser mais uma bandeira para forçar a adoção de sistemas open source?
>

Pronto, começou a distorção explícita. Se houver pagamento, a
responsabilidade é limitada pelo valor pago. Independente da licença.
O meu argumento foi no sentido de fazer uma exceção para software
gratuitos, sejam eles livre ou proprietários, de forma a que não seja
necessário relicenciar.

>> O texto não fala de punição simplesmente pelo fato de haver falhas de segurança no software.
>
> Não foi o que eu entendi desta frase: "Os fornecedores das tecnologias utilizadas devem ter responsabilidade solidária e objetiva, nos moldes do Código de Defesa do Consumidor".
>

Por favor releia o título do item: "Responsabilizar organizações que
não tratem com diligência os aspectos de segurança de aplicações"

O responsabilidade solidária e objetiva está dentro do contexto de diligência.

Inté,

Lucas

> Abraços,
>
> - Fernando Cima
>



-- 
Homo sapiens non urinat in ventum.


More information about the Owasp-brazilian mailing list