Si contrata a una empresa para realizar una prueba de penetración y auditar su aplicación, será prudente determinar exactamente qué hay en los límites de dicha prueba, qué se probará y cómo (parece que les está dando la fuente). para poder hacer pruebas de caja blanca también). Es probable que trabajen con usted para establecer los acuerdos legales que los indemnizan. También debe detallar los resultados esperados, los plazos y los métodos que le comunicarán los resultados. Todas estas cosas son solo formas de asegurarse de que está obteniendo exactamente lo que espera de ellos. Esto también es en su mejor interés; Ellos también quieren clientes felices.
Aparte de los asuntos legales / contractuales, sería prudente darles un entorno tan cercano o igual al de su producción para que los resultados sean precisos y también si puede realizar sus propias pruebas con anticipación para eliminar "fruta colgando" - es decir, cualquier cosa que sea fácil de encontrar para ellos. Considere las revisiones de código y las revisiones de diseño del sistema con anticipación para darles lo que cree que es lo mejor. De esa manera usted está obteniendo el valor de su dinero.