Bedrijven die de software van Oracle gebruiken en via reverse engineering willen controleren of er geen beveiligingsproblemen aanwezig zijn moeten hiermee stoppen, aangezien ze in dit geval de licentieovereenkomst overtreden. Dat stelt Mary Ann Davidson, Chief Security Officer van Oracle.
In een uitgebreide blogposting haalt Davidson uit naar het reverse engineeren van Oracle-producten via scanners, tools of consultants. Klanten beschikken niet over de broncode van Oracle, maar via reverse engineering kan de werking van de code toch worden achterhaald. Vervolgens kunnen op deze manier beveiligingsproblemen worden gevonden. Volgens de CSO voert Oracle zelf dit soort controles van de code uit.
Het softwarebedrijf zit dan ook niet te wachten op de scanrapporten van klanten die soortgelijke tools hebben uitgevoerd of consultants inschakelen om de code te analyseren. Als het bedrijf dit soort rapporten ontvangt en als blijkt dat de scanresultaten via reverse engineering zijn verkregen, dan stuurt Oracle een brief dat de klant in overtreding is en hiermee moet stoppen. In tegenstelling tot het zelf controleren zouden klanten naar certificeringen en controleprogramma's moeten kijken of de softwareleverancier wel de zaakjes op orde heeft, aldus Davidson.
De CSO gaat ook in op het betalen van onderzoekers voor bugmeldingen. Steeds meer bedrijven voeren zogeheten "bug bounty" programma's in. Onderzoekers die kwetsbaarheden vinden en dit vervolgens melden worden hiervoor beloond. Volgens Davidson vindt Oracle 87% van de beveiligingslekken zelf, terwijl 3% door beveiligingsonderzoekers wordt ontdekt. De resterende 10% wordt door klanten gevonden.
"Waarom zou ik dan ook veel geld aan 3% van het probleem uitgeven, als ik dat geld veel beter voor preventie kan gebruiken, of een nieuwe werknemer kan inhuren om een goede tool te ontwikkelen", stelt Davidson. Ze hoopt met de blogposting dan ook discussies met klanten dat ze de licentieovereenkomst hebben overtreden te voorkomen. "Ik besteed mijn tijd en die van mijn team liever aan het verbeteren van onze code, dan met mensen over de licentieovereenkomst te discussiëren." De uitspraken van Davidson hebben inmiddels voor felle reacties op Reddit gezorgd.
Davidson heeft haar blogpost inmiddels verwijderd. Een gearchiveerde versie is nog wel online te vinden.
Oracle laat in een reactie aan Security.NL weten dat het de blogposting van de CSO heeft verwijderd omdat die niet met de ideeën van het bedrijf overeenkomt of de relatie met klanten weergeeft.
Deze posting is gelocked. Reageren is niet meer mogelijk.