Lesen und beachten Sie die Automation Anywhere-Dokumentation

Automation Anywhere

Inhalt schließen

Inhalte

Inhalt öffnen

Überprüfung der Compliance und Schwachstellen

  • Aktualisiert: 5/10/2019
    • 11.3.x
    • Erkunden
    • Enterprise

Überprüfung der Compliance und Schwachstellen

Secure Software Development Lifecycle (S-SDLC)

Automation Anywhere hat einen Entwicklungssicherheitsplan und ein Entwicklungssicherheitsprotokoll implementiert, das eine bestimmte Tiefe der Tests/Evaluierung definiert, die vom Engineering-Team für jede Version gemäß den Best Practices von NIST SA-11, Sicherheitstests und Evaluierung durch Entwickler, und NIST SA-15, Entwicklungsprozess, Standards und Tools, ausgeführt werden müssen. Dieser Plan wurde dokumentiert und mit den Engineering-Teams von Automation Anywhere geteilt.

Statische und dynamische Codeanalyse: Veracode-Schwachstellenüberprüfung

Bei jedem wöchentlichen Build während des Entwicklungsprozesses und vor jeder Veröffentlichung wird die gesamte Automation Anywhere-Software mit dem Veracode-Tool auf Fehler überprüft. Automation Anywhere Enterprise erfüllt die Anforderungen für die strengste Sicherheitsrichtlinie, die im Tool, Veracode Level 5, verfügbar ist, die als Schwachstellen mit keinem „sehr hohen“, „hohen“ oder „mittleren“ Schweregrad definiert ist. Analyseberichte sind mit jeder Version verfügbar.

Abhängigkeitsanalyse

Bei jedem wöchentlichen Build während des Entwicklungsprozesses und vor jeder Veröffentlichung werden alle Bibliotheken und Abhängigkeiten von Drittanbietern in der Software von Automation Anywhere mit dem Black Duck-Tool auf bekannte Schwachstellen überprüft. Automation Anywhere aktualisiert anfällige Bibliotheken, wenn neue Versionen verfügbar werden. Analyseberichte sind mit jeder Version verfügbar.

Analyse des Netzwerksicherheitsrisikos: Nessus-Schwachstellenüberprüfung

Die AAE-Plattform unterzieht sich vor jeder Veröffentlichung einer automatisierten Nessus-Überprüfung auf Schwachstellen, um die Schwachstellen, gegen Richtlinien verstoßende Konfigurationen und Malware zu identifizieren, mit der Angreifer in AAE eindringen können. Die Ergebnisse werden sofort in den Entwicklungsplan zurückgeführt und Schwachstellen werden vor der Veröffentlichung korrigiert. Ein Bericht ist verfügbar.

Automation Anywhere ist grundsätzlich verpflichtet, innerhalb von 30 Tagen nach der Identifizierung einer neuen Sicherheitslücke für unterstützte Produkte angemessene Anstrengungen zu unternehmen, kritische und hohe Sicherheitsrisiken zu mindern oder zu eliminieren. Diese Richtlinien entsprechen den NIST-RA-5-Anforderungen.

Penetrationstests

Automation Anywhere führt vor jeder Hauptversion einen Penetrationstest über einen Drittanbieter durch. Darüber hinaus berücksichtigen wir das Feedback, das wir von Penetrationstests unserer Kunden, zu denen einige der größten Finanzinstitute der Welt gehören, erhalten. Analyseberichte sind mit jeder Version verfügbar.

Feedback senden