本页面适用于 Apigee 和 Apigee Hybrid。
查看 Apigee Edge 文档。
Apigee 的客户请求的测试
Apigee 允许甚至鼓励我们的客户在 Apigee 中扫描或测试自己的端点。我们仅要求收到扫描通知,使得在扫描导致您的服务出现问题时我们知晓正在扫描。如需向 Apigee 通知您计划的测试,请在测试开始前至少一个工作日提交支持服务工单,并提供以下详细信息:
- 测试日期(开始日期和预计结束日期,包括时区)
- 执行测试的人员/公司的名称
- 执行测试的人员的联系信息
- 测试的来源 IP 地址
- 要测试的系统的目标/目的地 IP 和名称(API 端点名称)
客户协议中未明确禁止进行测试。系统不会发送批准电子邮件,也不会签署授权函,因为 Apigee 不会禁止客户测试他们自己的端点和配置。
如果客户在测试期间发现自己认为漏洞是由 Apigee 平台本身引起的,我们会要求他们使用标准支持服务工单将此信息提交给 Apigee。通过提交支持服务工单,可以跟踪、上报和解决问题。
客户通过标准 Apigee 支持流程提交漏洞报告后,支持团队将审核工单,并根据情况上报给安全和工程团队。客户预计会在工单中收到回复,但如果需要有关所报告漏洞的更多信息,后续跟进可能会直接来自 Google 安全或工程团队。
Apigee 的 Google 扫描
Apigee 每周都会对 Apigee 进行扫描。但是,这些扫描仅供内部使用,不会与客户共享。Google 扫描服务会查看公开的端点和内部基础架构。这些扫描作业会查找缺少的补丁程序、漏洞、配置有误的主机、不良的 TLS 配置等等。它们是 Google“保护平台”承诺的一部分。
如果发现某些内容与客户直接相关,并且明显是配置不当,我们会通知客户。但是,由于客户同时使用明文和 TLS 配置,并且有些客户将 Apigee 用于公开数据,而其他客户将 Apigee 用于 PCI、医疗保健或其他 PII 类型的数据,因此我们无法确定我们总是适合所有客户。
客户在测试其端点和验证安全配置时,不得将这些 Google 扫描用来履行自己的尽职调查(如 PCI 和其他行业或监管标准所要求)。
我们鼓励客户执行 Apigee 中的端点测试,以满足安全性或合规性需求。请参阅本文档的 Apigee 的客户请求的测试部分。
Apigee Hybrid 的客户测试
由于 Apigee Hybrid 客户在自己的网络中拥有 Apigee 软件,因此客户可以测试软件。对客户直接管理的系统或服务测试没有任何限制。
因此,Apigee 不会向 Apigee Hybrid 客户提供测试报告。Apigee 确实会在向客户发布 Apigee 代码之前执行恶意软件扫描。
对于 Hybrid 客户,API 处理服务在客户的网络中,而管理界面在 Apigee Cloud 中。如需详细了解管理界面测试限制,请参阅本文档的 Apigee Cloud 的客户请求的测试部分。
由 Spinnaker 或 Acquia 托管的 Apigee 赞助的开发者门户的客户测试
客户可以在由 Pantheon 或 Acquia 托管的门户上执行渗透测试。Apigee 和 Pantheon(或 Acquia)需要先收到通知,客户可以通过 Apigee 提交支持服务工单来发送通知。
客户必须为支持团队提供计划的测试的以下详细信息:
- 测试日期(开始日期和预计结束日期,包括时区)
- 执行测试的人员/公司的名称
- 执行测试的人员的联系信息
- 测试的来源 IP 地址
- 要测试的 Pantheon 网站名称和网址