私たちは潜在的なクライアントと多くのオープンな議論をしており、現在のプロジェクトの作業範囲を含む技術的な専門知識のレベルについて頻繁に質問します。以前に使ったスタッフの専門知識のレベルを測るためにまずやったことは、XSSやSQLインジェクションなどのセキュリティ脆弱性をチェックすることです。私はまだ脆弱な潜在的なクライアントを見つける必要がありますが、私は疑問に思っています。実際にこの調査が役に立つと思うか、あるいは彼らは「ええと、彼らとビジネスをしないと、 "ノンテクニカルな人々はこのようなことでかなり怖がってしまいますので、これは誠意を持って見せてくれるのか、貧しいビジネス慣行なのでしょうか?潜在的なクライアントにセキュリティの脆弱性について通知しますか?
突然侵入テストを行った驚くべき人々が、あらかじめ時間を知っていなかったという事実を単純に言えば、ソフトウェアを人々に迷惑をかける可能性があると私は言うだろう。私はあなたがこれをするつもりなら(そして私はそれが良いことだと信じています)、あなたがこれをやるつもりであることをあなたのクライアントに事前に知らせます。これらが少し気になるようであれば、制御された環境で攻撃者の視点から人為的エラーをチェックするメリットを伝えてください。結局のところ、最も安全な人でも、間違いを犯すことさえあります。DebianのPRNGの脆弱性がこれの良い例です。
私は、この問題は、サイトを台無しにすることなくXSSのチェックを行うことは非常に難しいと思います。また、SQLインジェクションのようなものは非常に危険です。選択項目を追加することに悩まされている場合、問題はあまりないかもしれませんが、問題は、注入されたSQLを実行していることをどのように知っていますか?
私はこれはかなり主観的な判断であり、異なる見通しは、あなたが彼らに言いたければ異なった反応をすると思います。
アイデアは、他の人にビジネスを与えた後に知らせることだと思います。
少なくともこのように、元見込み顧客は、あなたにビジネスを与えるように圧力をかけようとしているとは思わないでしょう。
説明したように、いくつかの変更を加えた有益なビジネスプラクティスのようです。
まず第一に、あなたは顧客に行っ任意の脆弱性評価や侵入テストは、その顧客、期間によってを書面でに合意する必要があります。これは合法的にあなたの行動をカバーします。書面による同意がない場合、検査中に意図しない損傷(アプリケーションのクラッシュ、サービス拒否、データ漏れなど)が発生した場合は、責任を負うことになります(米国の法律に基づき、
破損していない場合でも、無関心または潜在的に悪意のある顧客が損害賠償を請求する可能性があります。無知な裁判官はそれらを授与するかもしれません。
許可を書いている場合、潜在的な顧客を引き付けるための無料の脆弱性評価は、誠意を示しているように聞こえて、あなたが望むもの、つまりあなたのスキルを実証します。
しかし、彼らがそれに対して保護していないのであれば、彼らはソフトウェアを開発する適切な人ですか? – Ross