保密协议

在大多数渗透测试中，NDA 是相当标准的事情。没有认真的渗透测试人员会抗议 NDA。

进行渗透测试的公司稍后可能会与您联系，并要求您允许出于教育目的匿名谈论您公司的调查结果，如果您认为这会损害您的业务，您可以随时否认。

这可能看起来像“在 ACME Corp. 的渗透测试中，我们的任务是测试 SaaS 解决方案。在测试期间，我们发现......”

关于谁在执行测试的详细信息

知道谁是真正的测试人员是有意义的，以防万一您出于某种原因需要直接联系他们。但是，您应该记住，并非所有渗透测试人员都拥有认证，尤其是那些刚刚开始的。因此，一家公司很可能会决定为该项目分配一名新聘用的渗透测试员，以便他们获得更多经验，此外还有一个经验丰富的团队。

限制范围

这在渗透测试项目中也很常见。您可以定义评估的范围，以及允许渗透测试人员执行哪些类型的测试。

测试环境

同样，范围取决于您。如果您说您宁愿提供登台服务器而不是生产服务器，那是非常合理的。事实上，我总是更喜欢在暂存环境中进行测试而不是在生产环境中进行测试，因为我不想成为成千上万的客户突然无法再访问他们的软件的原因，仅仅是因为我运行的一些漏洞代码意外地使机器崩溃了。

报告副本

这是另一个合理的要求。事实上，您正在对您的软件进行渗透测试，您甚至不必为此付费。这对你来说是一场胜利！

所有这些都是你要求的正常事情。选项也取决于您以及您想要接受的风险以及您想要的缓解措施。

告诉他们“不”也是可以接受的。

当我在一家 SaaS 公司工作时，我所做的是雇用我们自己的渗透测试人员，并根据 NDA 将他们的报告提供给潜在客户。这样的风险要少得多，你有更多的控制权。

是的，您要求这些物品绝对是标准和公平的。您应该更进一步，签订一份合同，其中包括保密协议和测试范围。

与渗透测试服务进行讨论可以阐明此文档；您可以与他们一起确定应该和不应该测试的内容。首先考虑你肯定会做和不想测试的事情。他们可以提出建议并指导您的范围。当然，你应该从你的高管那里得到支持。

一个简短的轶事：我们的测试人员要求我们允许在 CTO 的机器上安装键盘记录器，我给了他们绿灯。当我告诉我的经理，想“当然，他会批准这个”时，他迅速将灯变为红色，并告诉测试人员拉动设备。经验教训：与管理层合作确定范围内的内容。

此外，您需要制定一个补救计划，因此请确保您的部门知道发生了什么并为即将到来的工作做好准备。

最后，对于报告，您绝对应该获得他们发现的完整报告。此外，请确保您获得面向客户的文档。这可能是一篇热情洋溢的评论，可以向您的客户传达您认真对待隐私和安全的态度。这也可以加快销售速度。该服务还应该在您修复后（三到六个月内）进行重新测试。我们的服务不为此收费，但有些可能。把这个和他们一起提出来，看看他们怎么说。

祝你好运，并与测试人员互动。当您表现出兴趣并帮助他们帮助您时，他们通常会喜欢它！