有效的安全扫描

安全扫描是用于评估系统或应用程序安全状况的常用程序。 扫描可以采取多种形式，从测试各种规则或故障条件的自动扫描，到通过故意提供随机或恶意输入对 API 进行模糊测试以搜索漏洞的工具，一直到由专业团队执行的渗透测试等主动措施。

可以针对特定应用程序执行安全扫描，例如使用 ArcGIS SDK 构建或作为嵌入式 ArcGIS 应用程序包含的应用程序，或者，可以应用于整个系统，使用与要扫描的系统一样多的不同扫描类型和方法。 许多安全扫描将导致报告许多问题，这些问题的严重性从低或信息性警报到高或严重警报不等，并且基于可能可利用的情况或已知的可利用漏洞 (KEV)。 对低风险或高风险的评估通常高度主观，可能取决于提供服务的扫描框架或供应商，也可能基于外部风险评估，如通用漏洞评分系统 (CVSS) 评分。 无论如何，都必须针对被利用的可能性权衡初始风险，这与系统的可访问性、受影响的软件是否暴露于最终用户请求有关，以及它的使用或实施方式是否使系统容易受到已识别问题的影响。

ArcGIS 基于大量第三方库构建而成，并公开了 Esri 开发的一系列 API 和端点。 安全扫描通常会导致潜在问题，组织需要对其进行审查和验证，以评估其被利用的可能性和相关性，_然后_再将其提交给 Esri 进行审查和处理。 例如，在 ArcGIS Server 管理端点上检测到漏洞的扫描可能没有考虑到在该环境中，管理端点对最终用户不可用（例如，通过在 ArcGIS Web Adaptor 中禁用管理访问权限），因此，该结果可能被视为误报，因为没有针对该问题的实际利用。

建议

请考虑以下与安全扫描相关的重要说明和建议：

• 在运行自动扫描之前，请确保您的系统已配置为遵循 Esri 安全最佳实践。 要实现此目的，可使用 ArcGIS Security and Privacy Advisor 工具或遵循 serverScan.py 和 portalScan.py 工具的建议。 有关保护配置的详细信息，请参阅 ArcGIS 信任中心。
• 根据 Esri 的主许可协议，不允许对 ArcGIS Online 进行主动渗透测试。 请联系您的 Esri 账户团队，了解有关 ArcGIS Online 安全测试的更多问题。
• 应首先与组织的安全团队一起查看安全扫描报告，以了解最需要关注的严重性级别，以及这些问题是真正值得关注的问题、潜在的误报还是真正可利用的漏洞。
• 许多开源软件库或模块通过修补程序或新版本发布来修复安全问题，但请注意，手动升级 ArcGIS 的内部组件将使系统处于不受支持且可能不稳定的状态。 要缓解此类问题，唯一正确的方式是通过 Esri 的修补程序或新软件版本来更新第三方组件或库。 Esri 会积极审查公布的问题，并在每个版本中引入第三方组件更新以缓解此类风险。

有关与安全扫描相关的其他资源，请参阅 ArcGIS 信任中心的 ArcGIS 漏洞扫描指南文档（需要 ArcGIS 登录账户才能访问）。