有许多公司这样做。通常，组织定义团队的范围，明确定义活动、培训和监督。

我已经看到它是作为安全意识冠军计划的一部分完成的，该计划允许那些积极提高同行安全性的人使用每个人都可以使用的工具和流程。这种新级别的培训是在同行中成为安全领导者的一种“奖励”。

通过加入冠军计划，您可以为员工提供一些目标，并让员工真正对安全表现出兴趣，而不是那些只对“黑客”部分感兴趣的人。

之后，这一切都取决于您的组织想要解决的问题。我见过网络钓鱼团队（对您的同行进行网络钓鱼！）、物理安全团队（您进入大楼的不可能的任务！）和应用程序安全团队（破坏我们的产品！）。

关于谷歌橙色团队的具体范围或他们所做的事情（原因很明显......），没有太多信息，但总的来说，有两种渗透测试想要做：显而易见的一种是确保暴露于外部世界的系统是安全的，而不太明显的一种是确保系统从内部是安全的。

可以这样想：拥有系统内部知识和标准安全级别访问权限的人能做什么会很糟糕。这不一定是要保护自己免受邪恶员工的侵害（尽管这是大公司目标的一部分），而是要保持自己的架构诚实。即使在原则上，你也希望坏事是不可能的，不仅仅是因为你认为没有人会违反规则（无论是出于邪恶目的还是纯粹的懒惰）。

根据我在互联网上听到的消息，我的理解是谷歌的橙色团队就是这样的，他们基本上试图使用他们能想到的任何手段从内部入侵谷歌（对于你的问题，我猜想没有引起生产可见效果），包括调用外部不可用的内部 API。

对于许多团队和团队成员应该对不同内部资源具有不同访问级别的大公司，这种渗透测试有助于提高内部系统架构的安全性。是的，我确信“邪恶的员工”因素在这类企业中显得尤为突出……想象一下，如果错误的人设法在编译器或流行的浏览器中插入一些代码会发生什么。

而且，这一定是一个非常有趣的工作！:P

我不确定这些其他答案是否正确，但它们也不完全错误

橙色团队是伪装成董事会/clevels、HR 或其他点击者的团队。他们以普通最终用户的身份（很少以特权用户身份）来处理恶意执行流程，并且装傻。如果你已经是一名蓝队队员或红队队员，这实际上是你可以扮演的最有趣的角色——尽管有时因为你不能让你的专业知识指导你，所以最难进入角色。