Halaman ini berlaku untuk Apigee dan Apigee Hybrid.
Lihat dokumentasi
Apigee Edge.
Pengujian Apigee yang diminta pelanggan
Apigee mengizinkan dan bahkan mendorong pelanggan kami untuk memindai atau menguji endpoint mereka sendiri di Apigee. Kami hanya meminta pemberitahuan pemindaian agar kami mengetahui pemindaian tersebut jika pemindaian menyebabkan masalah pada layanan Anda. Untuk memberi tahu Apigee tentang pengujian yang Anda rencanakan, buka tiket dukungan setidaknya satu hari kerja sebelum pengujian dimulai dan berikan detail berikut:
- Tanggal pengujian (tanggal mulai dan perkiraan tanggal akhir termasuk zona waktu)
- Nama orang/perusahaan yang melakukan pengujian
- Info kontak untuk orang yang melakukan pengujian
- Alamat IP sumber pengujian
- IP Target/Tujuan dan nama sistem yang sedang diuji (nama endpoint API)
Pengujian secara khusus tidak dilarang dalam perjanjian pelanggan. Email persetujuan tidak akan dikirim, dan surat otorisasi tidak akan ditandatangani, karena tidak ada larangan bagi pelanggan untuk menguji endpoint dan konfigurasi mereka sendiri di Apigee.
Jika pelanggan menemukan kerentanan selama pengujian yang mereka yakini disebabkan oleh platform Apigee itu sendiri, kami meminta mereka untuk mengirimkan informasi ini ke Apigee menggunakan tiket dukungan standar. Dengan membuka tiket dukungan, masalah dapat dilacak, dieskalasi, dan diselesaikan sebagaimana mestinya.
Setelah pelanggan mengirimkan laporan kerentanan melalui proses dukungan Apigee standar, tim Dukungan akan meninjau tiket dan mengeskalasikannya ke tim keamanan dan engineering sebagaimana mestinya. Pelanggan akan menerima respons dalam tiket, meskipun tindak lanjut dapat dilakukan langsung oleh tim keamanan atau engineering Google jika diperlukan informasi lebih lanjut tentang kerentanan yang dilaporkan.
Pemindaian Google terhadap Apigee
Apigee memindai Apigee setiap minggu. Namun, pemindaian ini dilakukan untuk tujuan internal dan tidak dibagikan kepada pelanggan. Pemindaian Google memeriksa endpoint yang terekspos secara publik dan infrastruktur internal. Pemindaian ini mencari patch yang tidak ada, kerentanan, host yang salah dikonfigurasi, konfigurasi TLS yang buruk, dan sebagainya. Fitur ini adalah bagian dari komitmen Google untuk "mengamankan platform".
Jika ada sesuatu yang teridentifikasi dan terkait langsung dengan pelanggan serta jelas dikonfigurasi secara salah, kami akan memberi tahu pelanggan tersebut. Namun, karena pelanggan menggunakan konfigurasi teks biasa dan TLS, dan karena beberapa pelanggan menggunakan Apigee untuk data publik, sementara yang lain menggunakan Apigee untuk data PCI atau data kesehatan atau jenis data PII lainnya, kami tidak dapat menentukan apa yang selalu sesuai untuk semua pelanggan kami.
Pemindaian Google ini tidak dapat digunakan oleh pelanggan sebagai pemenuhan uji tuntas mereka sendiri dalam menguji endpoint dan memverifikasi konfigurasi aman seperti yang diwajibkan oleh PCI dan standar industri atau peraturan lainnya.
Pelanggan dianjurkan untuk melakukan pengujian sendiri pada endpoint di Apigee untuk kebutuhan keamanan atau kepatuhan. Lihat bagian Pengujian Apigee yang diminta pelanggan dalam dokumen ini untuk mengetahui petunjuknya.
Pengujian pelanggan Apigee Hybrid
Karena pelanggan Apigee Hybrid memiliki software Apigee dalam jaringan mereka sendiri, pelanggan diizinkan untuk menguji software tersebut. Tidak ada batasan pada pengujian sistem atau layanan yang dikelola langsung oleh pelanggan.
Namun, akibatnya, Apigee tidak memberikan laporan pengujian kepada pelanggan hybrid Apigee. Apigee melakukan pemindaian malware pada kode Apigee sebelum dirilis kepada pelanggan.
Untuk pelanggan Hybrid, layanan pemrosesan API berada dalam jaringan pelanggan, sedangkan antarmuka pengelolaan berada di Apigee Cloud. Tinjau bagian Pengujian yang diminta pelanggan untuk Apigee Cloud dalam dokumen ini untuk mengetahui detail tentang batasan pengujian antarmuka pengelolaan.
Pengujian pelanggan terhadap portal developer yang disponsori Apigee dan dihosting di Pantheon atau Acquia
Pelanggan dapat melakukan pengujian penetrasi pada portal mereka yang dihosting oleh Pantheon atau Acquia. Apigee dan Pantheon (atau Acquia) harus diberi tahu terlebih dahulu, dan pelanggan dapat melakukannya dengan membuka tiket dukungan dengan Apigee.
Pelanggan harus memberikan detail berikut tentang pengujian yang direncanakan kepada tim Dukungan:
- Tanggal pengujian (tanggal mulai dan perkiraan tanggal akhir termasuk zona waktu)
- Nama orang/perusahaan yang melakukan pengujian
- Info kontak untuk orang yang melakukan pengujian
- Alamat IP sumber pengujian
- Nama dan URL Situs Pantheon yang sedang diuji