本节书摘来自异步社区《Kali Linux渗透测试的艺术》一书中的第2章2.6节道德准则，作者【英】Lee Allen , 【印尼】Tedi Heriyanto , 【英】Shakeel Ali,更多章节内容可以访问云栖社区“异步社区”公众号查看。

2.6 道德准则

Kali Linux渗透测试的艺术专业的、道德的、经过授权的安全测试服务，离不开由事先约定的规则所组成的安全测试道德准则。这些准则约定了安全测试服务的服务方式、安全实施的测试方法、合同和谈判所约定的法律条款、测试的范围、测试的准备、测试的流程，以及报告结构的一致性。要顾全上述因素，就要仔细地考察、设计在整个测试过程中都要遵循的正规的操作方法和相关流程。下面将介绍一些常见的到的准则。

审计人员不得在和客户达成正式协议之前对目标系统进行任何形式的渗透测试。这种不道德的营销方法有可能破坏客户的正常业务。在某些国家或地区，这种行为甚至可能是违法行为。

在测试过程中，在没有得到客户明确许可的情况下，测试人员不得进行超出测试范围越过已约定范畴的安全测试。具有法律效力的正式合同可帮助测试人员避免承担不必要的法律责任。正式合同将会约定哪些渗透行为属于免责范围。这份合同必须清楚地说明测试的条款和条件、紧急联系信息、工作任务声明以及任何明显的利益冲突。测试人员应当遵守测试计划所明确的安全评估的时间期限。渗透测试的时间应当避开正常生产业务的时间段，以避免造成相互影响。测试人员应当遵循在测试流程里约定的必要步骤。这些规则以技术和管理不同角度，通过内部环境和相关人员来制约测试的流程。在范围界定阶段，应当在合同书里明确说明安全评估业务涉及到的所有实体，以及他们在安全评估的过程中受到哪些制约。测试结果和书面报告必须清晰，其顺序必须一致。报告中提及的所有已知的和未知的漏洞，必须以安全保密的方式递交给有权查看报告的相关责任人。本文仅用于学习和交流目的，不代表异步社区观点。非商业转载请注明作译者、出处，并保留本文的原始链接。