了解安全测试提供商协议中的关键项目

安全测试不仅是合规性的重要组成部分，而且是整个网站/网络应用程序安全性的重要组成部分。无论网站安全测试的类型和为此目的选择的服务提供商如何，成功的测试都需要做好充分的准备。安全服务提供商与组织之间明确的服务水平协议是准备工作的重要组成部分。它为双方设定了期望并明确了他们的义务。在本文中，我们帮助您了解安全测试提供商的协议中必须包含哪些项目才能实现测试的共同目标。

要包含在您的安全测试提供商协议中的关键项目

请记住，此列表并不全面或详尽无遗。我们汇总了突出良好安全测试的广度和深度的重要元素。

测试目标

与安全测试服务提供商的每个 SLA 都必须包含目标。目标和目的为流程的其余部分定下基调，包括范围界定、方法、结果、许可、定价等。如果在此过程之前没有建立明确的目标和目标，组织可能无法收到一组与其风险有任何联系或相关性的漏洞。

安全测试范围

测试范围告诉测试人员可以包括什么，不能包括什么。通过为渗透测试定义一个明确的范围，组织可以确保未包含在该范围内的系统和服务不会被测试人员触及。鉴于所涉及的成本和工作量，并非每个组件和系统都可以包含在网站安全测试中。此外，安全渗透测试可能导致意外停机，组织必须为此做好准备。这使得测试范围变得更加重要。

双方的义务

该协议必须包括应用程序安全测试服务提供商和雇用其服务的组织的义务。虽然 SLA 中提到了组织的付款条件和财务义务，但包含服务提供商关于测试可能结果的最终交付声明至关重要。

安全测试服务商资质及认证

合格、经验丰富且称职的安全测试提供商将报告所有漏洞，提供修复安全漏洞的建议，并对组织的系统采取更温和的态度。CREST、OSP、CEH等认证表明了测试人员的技术能力和方法水平。

测试方法、过程和使用的工具

双方必须讨论如何进行测试，以及用于测试的方法和工具。过程、方法和工具必须事先以书面形式商定。为什么这很重要？并非所有测试工具和方法都是合法的。开源工具可能是恶意的，可能会将扫描结果发送给恶意的第三方，暴露机密信息或让他们访问组织的系统和网络。这可能会对组织造成重大伤害。

保密条款

确保在与安全测试服务提供商的 SLA 中包含保密条款。组织最不希望看到的是他们的机密信息、测试结果或系统信息被渗透测试人员无意或有意地暴露。渗透测试人员可能正在使用他们希望保密的专有技术、工具或报告格式。在这种情况下，双方可以交换一份共同的保密协议 (NDA)

权限和凭证

如果需要为安全测试人员提供该过程的凭据，则必须以安全和加密的方式进行。要提供哪些凭据以及如何包含在 SLA 中的详细信息。鉴于在未经书面许可的情况下执行安全测试是一种刑事犯罪，因此将许可包含在合同中至关重要。例如，未经第三方书面许可，测试人员不得将第三方服务纳入范围。如果他们这样做，他们将不得不面临法律指控。

测试报告

应用程序安全测试服务提供商必须为组织提供一份详细的报告，突出显示影响应用程序的可用性、机密性和完整性的所有漏洞、缺陷和错误配置。这必须得到 POC 的支持，确认漏洞的存在以及如何重现这些漏洞。该报告必须包括有助于补救调查结果的建议。一份好的报告必须包括一个执行摘要部分，以非技术语言描述调查结果。这有助于最高管理层根据调查结果做出关键决策，以加强安全态势。

结论

与安全测试提供商的明确定义和全面的 SLA使组织和服务提供商能够理解并遵守他们的义务。它为高质量测试奠定了基础，可帮助组织加强其安全态势。