我们的客户希望在我们的网站上运行IBM Rational AppScan。 我们应该有什么合法的协议来保护每一方,在让他们运行之前应该担心什么? AppScan会检查什么,是否有可能删除或混淆我们的数据库的风险? 他们希望在执行协议之前达成协议,所以我们不能起诉他们。 而且我很害怕他们要崩溃我们的系统或截断我们的数据库。
针对部分答案,该网站不公开。 它需要用户名和密码。 此外,扫描是必需的,客户是财富100强公司,我们希望他们的业务。 我认为最好的select是让他们在testing平台上运行。
如果是与他们做生意的条件,那么肯定(你自己也应该这样做…),如果不与销售/客户代表交谈,看看他们是否可以阅读多less说不会伤害关系。
至于法律协议,我会说至less你应该有以下几点:
你有你的网站dev / qa实例,对吧? 让他们击中!
编辑:
如果您正在运行多租户服务,那么允许客户运行安全扫描软件,积极尝试利用安全漏洞是一个非常糟糕的主意 。 如果客户希望您在合同中同意保证对您造成的损害以及潜在的属于其他客户的数据,这一点尤其糟糕。
不能接受的。 如果我是另一个客户,我会很不高兴。
IBM AppScan的function是不相关的,因为他们明年可能会使用产品X,这是完全不同的。 除非这是一个丢弃项目,否则即使您的客户联系人声称这是一次性的事情,也需要这样做。
另一方面,财富100强客户需要确保其数据在第三方服务提供商手中时得到保护。 他们不会让步,所以你需要妥协。
一些想法:
网站是否向互联网开放?
如果是这样,我很难看到你怎么能阻止他们或任何其他人来探查网站。
事实上,如果你写的网站足够严重, 甚至谷歌的网页爬虫可以删除一切。
但是要回答你的具体问题“我们应该让他们…”
是。 你想知道缺陷在哪里,所以你可以像程序员一样成长。
法律协议? 不,如果你失去了一切,那么从备份恢复。 如果你不想删除所有的东西,那么你不应该在互联网上。
请他们在您的网站的“非高峰”时间运行它。 Appscan可以在Web和应用程序服务器上投入大量的资源。 负载的程度取决于你的具体环境,它可能没有太大的影响,或者可能是非常高的,注意低或高的负载不是好事或坏事。 如果你有严重的configuration问题,服务器崩溃的可能性很小,需要重启。 简而言之,它是在互联网上,没有任何事情可以阻止某人从你的networking服务器中肆意谩骂,如果你搞砸了网站的devise,代码或configuration。
也许更好的方法是自己运行这些东西,以便主动testing和改进应用程序的安全性和可用性,并与感兴趣的客户分享结果。
我的感觉是,因为任何人都可以针对面向networking服务器的互联网(或者任何types的服务器)进行扫描,所以你不应该因为允许他们这么做而担心。 你问这个问题的事实表明你对系统的安全性显然不那么自信。
我build议你先自己进行一系列的扫描,不pipe怎么说,这是你应该定期做的事情。 找出什么是rest时间,快速解决问题,让你的客户去做。 如果他们的扫描破坏了你的服务器,那么无论如何别人会这样做只是一个时间问题,除非他们会按照他们的条件来做,而不是你自己的。