本頁面由 Cloud Translation API 翻譯而成。

客戶安全性測試要求

本頁內容適用於 Apigee 和 Apigee Hybrid。

查看 Apigee Edge 說明文件。

客戶要求測試 Apigee

Apigee 允許甚至鼓勵客戶在 Apigee 中掃描或測試自己的端點。我們要求您通知我們掃描作業，只是為了在掃描導致服務發生問題時，我們能及時掌握情況。如要通知 Apigee 您預計進行的測試，請在測試開始前至少一個工作天開立支援單，並提供下列詳細資料：

客戶協議並未明確禁止測試。由於客戶在 Apigee 中測試自己的端點和設定並無任何限制，因此系統不會傳送核准電子郵件，也不會簽署授權書。

如果客戶在測試期間發現漏洞，並認為是 Apigee 平台本身所致，請使用標準支援單將這項資訊提交給 Apigee。開啟支援單後，系統會追蹤、呈報並解決問題 (視情況而定)。

客戶透過標準 Apigee 支援程序提交安全漏洞報告後，支援團隊會審查支援單，並視情況呈報給安全和工程團隊。客戶應會收到案件的回覆，但如果需要更多有關所回報安全漏洞的資訊，後續追蹤可能會直接由 Google 安全或工程團隊進行。

Apigee 每週都會掃描 Apigee，不過，這些掃描結果僅供內部使用，不會提供給顧客。Google 掃描會檢查公開的端點和內部基礎架構。這些掃描會尋找缺少的修補程式、安全漏洞、設定錯誤的主機、TLS 設定不佳等問題。這是 Google「確保平台安全」承諾的一部分。

如果發現與客戶直接相關的項目，且明顯設定有誤，我們會通知客戶。不過，由於客戶同時使用明文和 TLS 設定，而且部分客戶將 Apigee 用於公開資料，其他客戶則將 Apigee 用於 PCI、醫療保健或其他類型的個人識別資訊資料，因此我們無法判斷哪些做法一律適合所有客戶。

客戶不得將這些 Google 掃描結果，視為已完成端點測試和驗證安全設定的盡職調查，例如 PCI 和其他產業或法規標準所要求的項目。

建議客戶自行在 Apigee 中測試端點，以滿足安全性或法規遵循需求。如需相關操作說明，請參閱本文件的「客戶要求測試 Apigee」一節。

由於 Apigee Hybrid 客戶在自己的網路中擁有 Apigee 軟體，因此可以測試軟體。客戶直接管理的系統或服務，測試時不受任何限制。

但因此，Apigee 不會向 Apigee Hybrid 客戶提供測試報告。Apigee 會先掃描 Apigee 程式碼，確認沒有惡意軟體，再發布給客戶。

如果是混合式客戶，API 處理服務位於客戶的網路中，而管理介面則位於 Apigee Cloud。如要瞭解管理介面測試限制，請參閱本文的「客戶要求 Apigee Cloud 測試」一節。

客戶可以在 Pantheon 或 Acquia 代管的入口網站上執行滲透測試。請先通知 Apigee 和 Pantheon (或 Acquia)，客戶可以透過向 Apigee 開啟支援票證來完成這項操作。

客戶必須向支援團隊提供下列規劃測試的詳細資料：