渗透测试报告服务案例

测试类型：渗透测试

准备材料：

1.计算机软件委托测试申请表（电子版）

2.受测系统资产调研表（电子版）

3.委托测试授权书（盖章和签字的纸质原件）

4.测试前环境基本信息收集（电子版）

5.受测软件样品

测试标准：GB/T20984-2022《信息安全技术信息安全风险评估方法》 Owasp Testing Guide v4

办理周期：

正常流程：“准备材料”齐全后的15个工作日内交付；

加急：“准备材料”齐全且支付加急费用后的7个工作日内交付；

报告有效期：报告只针对当前送测版本软件及受测环境作出结论，当软件运行环境变化或软件版本迭代后，需要重新测试并出具有效的报告，建议每年进行一次测试。

解决方案：

需求确认阶段：

通过和客户沟通交流，确定测试报告使用的场景，从而判断交付物 “渗透测试”报告是否适用，并确定交付数量、周期、测试工作安排和商务流程安排等细节，需要的资料为“准备材料”中的5样材料，提供的测试材料是否符合要求，测试服务方有最终解释权。

商务阶段：

在明确“需求确认阶段”的内容后，服务方起草服务合同，客户确认合同无误后，双方签订合同并启动软件测试服务项目。

测试阶段：

完成 “商务阶段”后启动测试工作，一般安排微信群进行日常交流对接，对接沟通分商务联系人和技术联系人，可以是同一人但需要姓名全称，联系电话及企业邮箱。

渗透测试方式，可通过以下3选1：

1、提供软件样品，在我司软件检测室进行检测；

2、通过远程登录的方式进行检测；

3、软件部署在客户现场的情，可以到场进行检测，因应项目的情况可能会出现加收现场检测费用，检测周期也可能会相应延长；

整改阶段：

完成初次检测后我司测试工程师会反馈与测试目标存在差距的具体问题，受测方整改后通知我司进行复测，确认和测试目标预期一致后安排出具测试报告确认稿；

交付阶段：

确认稿的报告不是正式出具的版本，受测方需要在这个阶段确认清楚是否认可测试报告内容，受测方给出明确的答复并结算完全部测试费用后，测试服务方安排打印签字盖章装订，并出具报告的扫描件和原件。

费用结算阶段：

受测方确认支付全部合同款后的1个工作日内，测试服务方给出测试报告的扫描件并按受测方指定地址邮寄报告原件。

报告表述分歧：

当报告正式出具后，若出现受测方提供需要调整测试报告内容，若非测试服务方原因造成的，测试服务方有权拒绝修改。

测试服务方是国家认可的软件检测实验室，依据国家相关标准制定测试报告格式，并对检测的内容进行专业文字表述，最终解释权在测试服务方。

流程推进原则：

原则上商务流程和测试工作流程可以同步进行，出具报告终稿扫描件前测试服务方需要收到受测方盖章签字的测试服务合同原件，或收齐全部合同款项，否则测试服务方有权不提供正式版本的报告（含扫描件）。