顧客侵入テスト

Coupaペネトレーションと脆弱性テスト

Coupaは、本番環境に展開する前に、エンタープライズの各メジャーリリースでNexposeを使用した自動インフラストラクチャテストと手動アプリケーション脆弱性テストを実行します。NDA / MSAに基づいて、顧客および見込み顧客はこれらのテストの「顧客向け」結果セットを利用でき、以下のフォルダーからダウンロードできます。

顧客侵入テスト：許可しない理由

当社の標準MSA（お客様と共に）には、お客様によるテストを明示的に禁止する条項があります。この禁止にはいくつかの理由があります。

1. 最も重要なのは、顧客Aが顧客Bのデータへのアクセスを可能にするバグをテストして発見した場合、違反を考慮し、違反が発生した場合の違反通知に関するすべての法的および契約上の要件があることです。それは実際の悪意のある攻撃の結果でした。これは法的問題および違反に関連するすべてにつながる可能性があります。それを防ぐことができるとき、私たちは故意にこれを自分自身に持ってきたくありません。
2. 安全な開発プロセスと安全な運用プロセスの一環として、インフラストラクチャの脆弱性とアプリケーションのテストを継続的に実施しています。このテストは業界で認められたツールを使用して進行中であり、お客様による単一の「期限内」テストとは異なり、このプロセスは安全を維持するのに役立ちます。ブラッシングやフロスと同様に、頻繁に行うだけではありません。
3. 私たちはマルチテナントソリューションです。したがって、1人の顧客がインスタンスをテストしている場合、同じサーバーでホストされている他の顧客のパフォーマンスに影響を与える可能性があります。それが外部の攻撃者である場合、アクションをブロックし、それ以上の問題を軽減する手順を実行できます。ただし、テストしている顧客は、ブロックされないことを期待しています。したがって、顧客テストごとにクローン展開を作成し、インフラストラクチャコストと追加のインフラストラクチャを管理するための管理コストを負担する必要があります（お客様はテスト中にテストインスタンスを利用できると予想します）。

そのテスト結果のエグゼクティブサマリーを共有させていただきます。エグゼクティブサマリーでより詳細なダイビングについて話し合うこともできます（上記のとおり）。

エンタープライズアプリケーションのサードパーティのペンテストレポートとともに、最新リリースでNexposeと手動アプリケーションの脆弱性テストを使用した自動インフラストラクチャテストは、以下からダウンロードできます。

• エンタープライズサードパーティ製ペンテストレポート-R24
• エンタープライズセキュリティアセスメント-R27
• CRAセキュリティアセスメント-R27
• CCWセキュリティアセスメント-R27
• CSOセキュリティアセスメント-R27
• CSPセキュリティ評価-R27
• CLMAセキュリティアセスメント-R27