Halaman ini berlaku untuk Apigee dan Apigee hybrid.
Baca dokumentasi
Apigee Edge.
Pengujian Apigee yang diminta pelanggan
Apigee mengizinkan dan bahkan mendorong pelanggan kami untuk memindai atau menguji endpoint mereka sendiri di Apigee. Kami meminta notifikasi pemindaian hanya agar kami mengetahui pemindaian tersebut jika pemindaian menyebabkan masalah pada layanan Anda. Untuk memberi tahu Apigee tentang pengujian yang Anda rencanakan, buka tiket dukungan setidaknya satu hari kerja sebelum pengujian dimulai dan berikan detail berikut:
- Tanggal pengujian (tanggal mulai dan perkiraan tanggal akhir termasuk zona waktu)
- Nama orang/perusahaan yang melakukan pengujian
- Info kontak untuk orang yang melakukan pengujian
- Alamat IP sumber pengujian
- IP Target/Tujuan dan nama sistem yang sedang diuji (nama endpoint API)
Pengujian secara khusus tidak dilarang dalam perjanjian pelanggan. Email persetujuan tidak akan dikirim, dan surat otorisasi tidak akan ditandatangani, karena tidak ada larangan bagi pelanggan untuk menguji endpoint dan konfigurasi mereka sendiri di Apigee.
Jika pelanggan menemukan kerentanan selama pengujian yang mereka yakini disebabkan oleh platform Apigee itu sendiri, kami meminta mereka untuk mengirimkan informasi ini ke Apigee menggunakan tiket dukungan standar. Dengan membuka tiket dukungan, masalah dapat dilacak, dieskalasi, dan diselesaikan sebagaimana mestinya.
Setelah pelanggan mengirimkan laporan kerentanan melalui proses dukungan Apigee standar, tim Dukungan akan meninjau tiket dan mengeskalasikan ke tim keamanan dan engineering sebagaimana mestinya. Pelanggan akan menerima respons dalam tiket, meskipun tindak lanjut dapat langsung dilakukan oleh tim keamanan atau engineer Google jika informasi selengkapnya diperlukan tentang kerentanan yang dilaporkan.
Pemindaian Apigee oleh Google
Apigee memindai Apigee setiap minggu. Namun, pemindaian ini ditujukan untuk tujuan internal dan tidak dibagikan kepada pelanggan. Pemindaian Google melihat endpoint yang diekspos secara publik dan infrastruktur internal. Pemindaian ini mencari patch yang tidak ada, kerentanan, host yang salah dikonfigurasi, konfigurasi TLS yang buruk, dan sebagainya. Hal ini merupakan bagian dari komitmen Google untuk "mengamankan platform".
Jika ada sesuatu yang teridentifikasi yang terkait langsung dengan pelanggan dan jelas salah dikonfigurasi, kami akan memberi tahu pelanggan. Namun, karena pelanggan menggunakan konfigurasi teks biasa dan TLS, dan karena beberapa pelanggan menggunakan Apigee untuk data publik, sementara yang lain menggunakan Apigee untuk PCI atau data kesehatan atau jenis PII lainnya, kami tidak dapat menentukan apa yang selalu sesuai untuk semua pelanggan kami.
Pemindaian Google ini tidak boleh digunakan oleh pelanggan sebagai pemenuhan uji kelayakan mereka sendiri dalam menguji endpoint dan memverifikasi konfigurasi aman seperti yang diwajibkan oleh PCI dan standar industri atau peraturan lainnya.
Pelanggan dianjurkan untuk melakukan pengujian endpoint mereka sendiri di Apigee untuk kebutuhan keamanan atau kepatuhan. Lihat bagian Pengujian Apigee yang diminta pelanggan dalam dokumen ini untuk mengetahui petunjuknya.
Pengujian pelanggan Apigee hybrid
Karena pelanggan Apigee hybrid memiliki software Apigee dalam jaringan mereka sendiri, pelanggan diizinkan untuk menguji software tersebut. Tidak ada batasan untuk pengujian sistem atau layanan yang dikelola oleh pelanggan secara langsung.
Namun, akibatnya, Apigee tidak memberikan laporan pengujian kepada pelanggan hybrid Apigee. Apigee melakukan pemindaian malware pada kode Apigee sebelum dirilis kepada pelanggan.
Untuk pelanggan Hybrid, layanan pemrosesan API berada dalam jaringan pelanggan, sedangkan antarmuka pengelolaan berada di Apigee Cloud. Tinjau bagian Pengujian Apigee Cloud yang diminta pelanggan dalam dokumen ini untuk mengetahui detail tentang pembatasan pengujian antarmuka manajemen.
Pengujian pelanggan terhadap portal developer yang disponsori Apigee yang dihosting di Pantheon atau Acquia
Pelanggan dapat melakukan uji penetrasi di portal mereka yang dihosting oleh Pantheon atau Acquia. Apigee dan Pantheon (atau Acquia) harus diberi tahu terlebih dahulu, dan pelanggan dapat melakukannya dengan membuka tiket dukungan dengan Apigee.
Pelanggan harus memberikan detail pengujian yang direncanakan berikut kepada tim Dukungan:
- Tanggal pengujian (tanggal mulai dan perkiraan tanggal akhir termasuk zona waktu)
- Nama orang/perusahaan yang melakukan pengujian
- Info kontak untuk orang yang melakukan pengujian
- Alamat IP sumber pengujian
- Nama dan URL Situs Pantheon yang sedang diuji