问交替渗透测试供应商是否有实际意义和价值？

EN

很多人(也许大多数？)人们认为轮换供应商是一种最佳做法。

我通常听到的最有价值的好处是，它使您能够比较质量和价值。

我也认为你有足够的空间发挥创造力；例如，聘请一家专门从事一轮应用程序渗透测试的公司，然后聘请一家专门从事社会工程的公司，或者每轮聘请多个供应商，或者进行某种组合。

在所有情况下，注意执行实际工作的人的姓名和相应的技能集是确保你得到你所期望的东西的关键(即你想要避免诱饵和变换策略，你想要跟踪那些提供高质量的人)。

@Tate的回答对轮换的好处是很好的，但我要指出的另一点是：

轮转的缺点是，您失去了供应商已经积累的大量上下文和知识。了解您的业务背景、需求、自定义规则、应用程序的工作方式等，以及对过去遇到的问题的历史熟悉。如果你旋转，你必须重新开始。

当然，如果你只有外部类型的五酯，偶尔来做一次盲扫描，那么他们对你的了解还不多.但为什么要为他们费心呢？你最好找个“合作伙伴”--一个了解你的业务的人，根据这一点工作，并能找出趋势、根本原因和以前发生过的重复错误--并与你合作解决这些问题。但如果你每6个月轮换一次，那就很难了.

我想这是一种权衡、验证(和独创性)，而不是更好、更高效的工作(但你必须相信)。

我将提出一些完全不同的论点，直接反对PCI DSS和CIP CVA。

我的第一个论点是，雇佣外部渗透测试人员是愚蠢的。渗透-测试应该是在基础设施或迭代演示(即在QA/阶段中)中发生的"bug搜索“一天。每个人，包括所有的consultants/contractors/QA-people/devs/managers/etc都应该被邀请并被允许参加。他们应该在团队中一起工作(通常是成对的)，团队应该是不同的思维(例如受过训练的和未经训练的)。

我的第二个论点是，“偶尔”与一家合作伙伴公司合作是愚蠢的。如果你打算努力聘请一位值得信赖的顾问，如果你每年只聘用他们一次，或者当法规规定你应该聘用他们时，你就是在浪费他们的时间和你的时间。经常与你建立信任的人保持联系是很重要的。

雇佣一家appsec咨询公司，像对待员工一样对待他们，即使他们每周都不在办公桌前。进入订婚，知道这将是3年前，你显示的进展，但要制定目标/目的和指标。