漏洞扫描常识（一）：错在了哪儿？需要注意哪些？

漏洞扫描对于业务侧来说，是一种新的变化。一个变化的首次引入，有问题是必然的，没问题才是异常的。合理的做法是遵循ITIL里的“变更管理”。

1.变更计划： 扫描的时间、IP/URL/端口范围、QPS、测试用例集（有DoS的测试用例选择、有Delete/Update相关的资产选择、有POST隐蔽接口的选择）。

2.变更风险评估：交换机路由器的流量和容量、业务的QPS、业务/网络挂掉的最极端风险评估。

3.变更知会：业务的管理者、RD、SRE、DBA、QA甚至网络维护方，是否知道上述所有关键信息，并授权同意进行扫描（全公司强制的至少做到知会）。

4.回滚计划：如果出了问题，怎么最快速的停止扫描和恢复业务（有些动作要上面的变更知情范围的关键干系人配合）。

5.变更观察：执行扫描的时候，大家有没有在盯着服务是否出错（以及判断业务是否正常），以便在出问题的第一时间响应。

6.变更总结：灰度执行过程中总结不到位的地方，在下一次工作中改进。