许多（也许是大多数？）人认为轮换供应商是一种最佳实践。

我通常听到的最有价值的好处是它使您能够比较质量和价值。

我也认为你有创意的空间；例如，先聘请一家专门从事应用程序渗透测试的公司进行一轮，然后再聘请一家专门从事社会工程的公司，或者每轮招聘多个供应商，或两者兼而有之。

在所有情况下，注意执行实际工作的个人的姓名和各自的技能组合是确保获得预期结果的关键（即，您要避免诱饵和转换策略，并且要跟踪提供高质量的个人） .

@Tate 的回答对旋转的好处很有好处，但我会指出另一个重要的一点：

轮换的缺点是您丢失了您的提供者已经建立的大量上下文和知识。了解您的业务环境、需求、自定义规则、应用程序的工作方式等，以及对您过去遇到的问题的历史熟悉程度。如果你旋转，你必须从头开始。

当然，如果你只有外部类型的渗透测试，偶尔来做一次盲扫，那么他们无论如何也没有积累太多关于你的知识......但是为什么要打扰他们呢？你最好有一个“合作伙伴”——一个了解你的业务，根据它工作，并且可以识别趋势、根本原因和以前发生的重复错误的人——并与你一起修复它们。但如果你每 6 个月轮换一次，这很难建立......

我想这是对更好、更高效的工作（但你必须信任）的权衡、验证（和原创性）。

我将提出一些完全不同的论点，直接反对 PCI DSS 和 CIP CVA。

我的第一个论点是聘请外部渗透测试人员是愚蠢的。渗透测试应该是在基础设施或迭代演示期间（即在 QA/staging 中）发生的“寻找错误”日。每个人，包括所有顾问/承包商/质量保证人员/开发人员/经理/等都应该被邀请并被允许参与。他们应该在团队中一起工作（通常是成对的），并且团队应该是不同的头脑（例如，受过训练与未受过训练）。

我的第二个论点是“偶尔”与一家合作伙伴公司合作是愚蠢的。如果您打算努力获得一位值得信赖的顾问，那么如果您每年只聘请他们一次，或者当法规要求您这样做时，您就会浪费他们和您的时间。与您建立信任的人保持持续联系非常重要。

雇用一家 appsec 咨询公司，并像对待员工一样对待他们，即使他们不是在工作周的每一天都在办公桌前。知道这将是 3 年才能显示进步，但要设定目标/目标和指标。

根据经验，我认为时间轮换在全球企业规模上效果最好，在一个小组中，您可能有 3 到 6 个供应商组织不断为您工作，因此他们都建立了对环境的长期知识，您可以轮换他们通过一系列领域，例如内部、外部、第 3 方等，但只有当您能够围绕测试建立元数据以便规范化和跟踪趋势时，真正的价值才会出现：

• 供应商 x 始终将特定问题评为次要问题，但供应商 y 将其评为重大问题。
• 测试人员 a 比测试人员 b 提供更多关于应用程序测试结果的信息。
• 供应商 z 的技能较低，但比其他供应商改进得更快。

如果没有轮换，技能的交叉比较和重新谈判价格的能力可能难以管理，但请注意，您确实需要预算时间让新供应商跟上您的工作方法、交付预期、报告风格、阈值等等。