Facebook数据保护评估 之 应用和系统的漏洞和安全问题

你是否会至少每 12 个月检测你的应用和系统是否存在漏洞和安全问题？（例如，你是否手动执行渗透测试？）

这个问题选“是”，对于单机和非单机应用或游戏来讲也是一样的，我不知道FB弄个“否”的选项是几个意思，也不知道选“否”的后果。

接下来要提供材料证据：

请同时上传以下材料：
显示过去 12 个月内运行的渗透测试或漏洞扫描结果的文件。文件或截图必须包括测试范围、测试日期以及测试期间发现的任何漏洞的摘要或列表。
相关政策或程序，说明你过去 12 个月内为检测漏洞和安全问题而使用的测试流程。请参阅数据安全要求指南，详细了解如何上传合适的证据。请确保文件未设密码保护。你可以上传多个文件，每个最大 2 GB。我们支持的文件格式有：.xls，.xlsx，.csv，.doc，.docx，.pdf，.txt，.jpeg，.jpg，.png，.ppt，.pptx，.mov，.mp4，.zip 和 .zipx。

第一次回答，我上传了APP发版历史记录、AWS和阿里云上的漏洞扫描结果以及对应处理结果截图，但收到了FB审查员需要更多信息的回复：

Thank you for your response but we need more information. Can you please provide documentation that shows the results of a penetration test or a vulnerability scan run within the last 12 months. Documents or screenshots must include the scope of the test, the date of the test, and a summary or a listing of any vulnerabilities discovered during the test. Additionally, can you please provide a policy or procedure that describes your testing process for detecting vulnerabilities and security issues used within the last 12 months. Please see FAQ here: https://developers.facebook.com/docs/development/maintaining-data-access/data-protection-assessment/data-security#reqs-test-app-sys

原来忘了把测试时间截图进去了，上面也说缺少政策文档。

这次回复上传了一张包含有漏洞测试时间的截图、一份关于打补丁的政策规范文档、一份漏洞扫描的规范文档。

等了一个半月，收到了以下回复：

Q12 – Please provide implementation evidence as mentioned below, Implementation Evidence – Please provide implementation evidence showing a Penetration-test or static analysis (SAST scan etc.) report showing the scope and date of the scan along with the vulnerability count and categorization (Critical/High/Medium/Low etc.). Please note that all critical/high vulnerability identified in the scan should be remediated.

要求提供详细的漏洞(高中低)报告、以及修复高危漏洞(如果有)。按照要求，又上传了一些漏洞扫描截图。

提交了一段时间后，收到了回复：

Thanks for the response. Note that we are not accepting AWS inspector for this requirement. We still require testing your app for security and vulnerability issues. Please attach implementation proof in the form of a vulnerability scan with a date showing within the last 12 months, with a clear scope mentioned as well as a vulnerability breakdown report that shows no high or critical vulnerabilities. These tests can come in the form of external penetration tests or static code analyses. Remember to redact sensitive details from your evidence before uploading it to us For further guidance, please reference the below document which highlights acceptable evidence and policy requirements related to each question: https://developers.facebook.com/docs/development/maintaining-data-access/data-protection-assessment/data-security#redact-evidence

他回复里说，云提供商上的漏洞截图不接受，让我们使用外部工具进行渗透测试和静态分析，然后输出报告。真无语！

网上找了一个比较流行的漏洞扫描工具，注册和安装花了我几个小时时间，等工具扫描完，输出报告又等了几个小时，折腾了一天终于把报告和截图弄完并上传给FB。仅过两天就收到了好消息：

跟着审查员的回复各个击破，是目前我用的方法，但比较耗时耗力，有时一个问题的回答和证据收集得花我一天甚至两天的时间。

联系邮箱： keysolutions@foxmail.com