Devemos deixar nosso cliente executar o IBM AppScan em nosso site?

Navegue suas respostas
2

Nosso cliente deseja executar o IBM Rational AppScan em nosso site. Que acordo legal devemos ter em vigor para proteger cada uma das partes e quais as preocupações que devo ter antes de as deixar executar? O que o AppScan verifica e existe o risco de excluir ou atrapalhar nosso banco de dados? Eles querem ter um acordo antes de administrá-lo, então não podemos processá-los. E estou com medo de que eles colidam com nosso sistema ou truncem nosso banco de dados.

Em resposta a algumas das respostas, o site não está publicamente disponível. Requer um nome de usuário e senha. Além disso, a digitalização é necessária, o cliente é uma empresa da Fortune 100 e queremos seus negócios. Eu acho que a melhor opção é que eles façam isso em uma cama de teste.

    
por Trevor Allred 24.09.2010 / 21:39

6 respostas

4

Se for uma condição de fazer negócios com eles, com certeza (e você mesmo deve fazer isso ...) se não conversar com o representante de vendas / conta que os manipula e ver se eles podem ler o quanto estão dizendo não machucaria o relacionamento.

No que diz respeito aos acordos legais anteriores, eu diria que você deve ter no mínimo o seguinte:

  • NDA especificando que eles não podem divulgar quaisquer vulnerabilidades encontradas fora de pessoas dentro de sua organização que tenham necessidade de saber sobre elas.
  • Acordo para executar a execução em uma instância de controle de qualidade / teste ou em horários fora de pico
  • Responsabilidade - eles são responsáveis por qualquer perda de receita devido ao programa quebrar as coisas
  • A corrida será coordenada com o seu NOC / Sistemas / Rede / quem quer que seja, para que ninguém fique surpreso e todos estejam prontos para o caso.
por 25.09.2010 / 03:55
2

Você tem uma instância dev / qa do seu site, certo? Deixe-os bater isso!

EDITAR:

Se você estiver executando um serviço de vários inquilinos, permitir que um cliente execute um software de verificação de segurança que tente ativamente explorar as vulnerabilidades de segurança é uma ideia realmente ruim . É especialmente ruim se o cliente quiser que você concorde contratualmente em mantê-los inofensivos por danos causados a você e, potencialmente, por dados pertencentes a outros clientes .

Não aceitável. Eu ficaria descontente se fosse outro cliente.

Os recursos do IBM AppScan não são relevantes, pois podem usar o produto X no próximo ano, o que é completamente diferente. A menos que este seja um projeto descartável, a necessidade de fazer isso surgirá novamente - mesmo que seu contato no cliente afirme que é uma coisa única.

Por outro lado, um cliente da Fortune 100 precisa ter certeza de que seus dados estão protegidos nas mãos de um prestador de serviços terceirizado. Eles não vão ceder, então você precisa de um compromisso.

Algumas ideias:

  • Ofereça-se para realizar a verificação regularmente (trimestral, semestral, anual, por grande lançamento, etc.). Ofereça a saída não adulterada do relatório em até 10 dias úteis após a verificação, sujeita a uma condição de SLA. (ou seja, você pagará uma multa financeira se o relatório estiver atrasado)
  • Permitir que eles executem a verificação, mas somente depois de trabalhar com sua equipe no lado do desenvolvedor. Isso precisa ser um termo de contrato.
  • Isole esse cliente dos outros.
por 25.09.2010 / 00:45
1

O site está aberto à internet?

Em caso afirmativo, dificilmente vejo como você pode impedi-los, ou qualquer outra pessoa, de investigar o site.

Na verdade, se você escreveu o seu site com , até mesmo o rastreador de páginas do Google pode excluir tudo.

Mas para responder à sua pergunta específica "Devemos deixá-los ..."

Sim. Você quer aprender onde estão as falhas para que você possa crescer como programador.

Contrato legal? Não. Se você perder tudo, restaure a partir de um backup. Se você não queria que tudo fosse apagado, então você não deveria tê-lo na internet.

    
por 24.09.2010 / 22:45
1

Peça-lhes para gentilmente executá-lo durante um horário "fora do horário de pico" do seu site. O Appscan pode colocar uma carga enorme na web e nos servidores de aplicativos. A extensão da carga depende do seu ambiente específico, pode não ser um grande impacto ou pode ser extreamemente alta, note que uma carga baixa ou alta não é uma coisa boa ou ruim. Se você tiver sérios problemas de configuração, há uma pequena chance de travar um servidor ao ponto de precisar ser reinicializado. O mais importante é que ele está na internet e não há nada que você possa fazer para impedir que alguém chute os servidores da web e fuja com os dados se o projeto, o código ou a configuração do site estragar tudo .

    
por 25.09.2010 / 00:32
1

Talvez uma abordagem melhor seja executar esse tipo de coisa para que você possa testar e melhorar proativamente a segurança e a disponibilidade de seus aplicativos e compartilhar os resultados com clientes interessados?

    
por 25.09.2010 / 12:17
1

Meu sentimento é que, porque qualquer um pode executar uma varredura em um servidor da Web voltado para a Internet (ou qualquer tipo de servidor, se chegar a esse ponto), você não deve ter nada a temer ao permitir que ele faça isso. O fato de você estar fazendo a pergunta sugere que você está claramente menos confiante na segurança do seu sistema.

Eu recomendo que você faça uma série de digitalizações primeiro, o que é algo que você deveria fazer regularmente. Descubra o que quebra, conserte-o rapidamente e deixe seu cliente fazer isso. Se a varredura deles quebrar o seu servidor, é apenas uma questão de tempo até que alguém o faça de qualquer maneira, exceto que eles farão isso do jeito deles, não do seu.

    
por 26.09.2010 / 10:00

Tags

Ferramentas para limpar um disco rígido [duplicado] Controlando serviços em outro computador