我们的客户希望在我们的网站上运行 IBM Rational AppScan。我们应该签订什么法律协议来保护各方?在让他们运行之前我应该考虑哪些问题?AppScan 会检查什么?它是否有删除或破坏我们数据库的风险?他们希望在运行之前签订协议,这样我们就不会起诉他们。我担心他们会破坏我们的系统或截断我们的数据库。
针对部分回答,该网站不对外开放。需要用户名和密码。此外,需要扫描,客户是一家财富 100 强公司,我们想要他们的业务。我认为最好的选择是让他们在测试平台上运行它。
答案1
如果这是与他们做生意的条件,当然可以(而且无论如何你自己也应该这么做...)如果不是,那就和负责处理这些问题的销售/客户代表谈谈,看看他们是否能明白说“不”会对你们的关系造成多大的损害。
就事先达成的法律协议而言,我认为至少应该达成以下协议:
- NDA 规定他们不能向组织内部需要了解这些漏洞的人员之外披露发现的任何漏洞。
- 同意针对 QA/Staging 实例或在非高峰时段运行
- 责任 - 他们对由于程序破坏而造成的任何收入损失负责
- 此次比赛将与您的 NOC/系统/网络/其他任何人进行协调,以便没有人感到惊讶,并且每个人都做好了准备。
答案2
你的站点有 dev/qa 实例,对吧?让他们去访问它吧!
编辑:
如果你正在运行多租户服务,允许客户运行主动尝试利用安全漏洞的安全扫描软件是一种真是个坏主意。如果客户希望你通过合同同意免除他们对你造成的损害以及可能对属于其他客户的数据。
不可接受。如果我是其他顾客,我会感到不高兴。
IBM AppScan 的功能并不重要,因为他们明年可能会使用完全不同的产品 X。除非这是一个一次性项目,否则这样做的需求会再次出现——即使你在客户处的联系人声称这是一次性的事情。
另一方面,财富 100 强客户需要确保其数据在第三方服务提供商手中受到保护。他们不会在这一点上让步,所以你需要妥协。
一些想法:
- 定期自行进行扫描(每季度、每半年、每年、每次主要发布等)。在扫描后的 10 个工作日内向他们提供报告的未修改输出,但须遵守 SLA 条件。(即,如果报告延迟,您将支付罚款)
- 允许他们运行扫描,但必须与开发团队合作。这需要成为合同条款。
- 将该客户与其他客户隔离。
答案3
该网站对互联网开放吗?
如果是这样,我很难明白你如何能够阻止他们或其他任何人探测该网站。
事实上,如果你的网站写得足够糟糕甚至 Google 的网页爬虫也能删除所有内容。
但要回答你的具体问题“我们应该让他们……”
是的。你想知道缺陷在哪里,这样你才能成长为一名程序员。
法律协议?不。如果你丢失了所有内容,那么就从备份中恢复。如果你不想删除所有内容,那么你就不应该把它放在互联网上。
答案4
也许更好的方法是自己运行这类东西,以便您可以主动测试和提高应用程序的安全性和可用性,并与感兴趣的客户分享结果?