Überprüfung der Compliance und Schwachstellen

Überprüfen Sie die Details zur Überprüfung der Compliance und Schwachstellen von Automation Anywhere.

Secure Software Development Lifecycle (S-SDLC)

Automation Anywhere hat einen Entwicklungssicherheitsplan und ein Entwicklungssicherheitsprotokoll implementiert, das eine bestimmte Tiefe für Tests und Evaluierungen definiert, die vom Engineering-Team für jede Version in Übereinstimmung mit den Best Practices gemäß NIST SA-11 „Sicherheitstests und Evaluierung durch Entwickler“ und NIST SA-15 „Entwicklungsprozess, Standards und Tools“ durchgeführt werden müssen. Dieser Plan wurde dokumentiert und mit den Engineering-Teams von Automation Anywhere geteilt.

Statische Schwachstellenüberprüfung

Während des Entwicklungsprozesses und vor jeder Veröffentlichung wird die gesamte Automation Anywhere-Software mit dem Veracode-Tool auf Fehler überprüft. Automation Anywhere Enterprise erfüllt die Anforderungen für die strengste, im Tool „Veracode Level 5“ verfügbare Sicherheitsrichtlinie, die als Schwachstellen mit keinem „sehr hohen“, „hohen“ oder „mittleren“ Schweregrad definiert ist. Analyseberichte sind mit jeder Version verfügbar.

Abhängigkeitsanalyse

Automation Anywhere verwendet Black Duck zum Scannen und Berichten über verwundbare Open-Source-Software (OSS)-Komponenten (Bibliotheken und Abhängigkeiten) in unseren Produkten als Teil eines sicheren SDLC-Prozesses. Im Rahmen unseres Freigabeprozesses wird Black Duck den Code auf bekannte Sicherheitsanfälligkeiten scannen. Alle identifizierten und veralteten Komponenten werden mit den neuesten Versionen aktualisiert, sobald diese verfügbar sind.

Alle als kritisch oder hoch eingestuften Schwachstellen werden behoben, bevor die Veröffentlichung in die Produktion geht. Die als mittel eingestuften Schwachstellen werden triagiert und auf Anwendbarkeit analysiert. Wenn festgestellt wird, dass sie anwendbar sind, werden solche Schwachstellen in den nachfolgenden Versionen behoben. Schließlich werden Schwachstellen, die als niedrig eingestuft sind, fallweise behoben.

Unsere IT-Best Practices, die unseren Sicherheitsrichtlinien entsprechen, fungieren als zusätzliche Schicht von ausgleichenden Kontrollen (als Teil der Strategie der tiefen Verteidigung) und würden im Allgemeinen Sicherheitsanfälligkeiten, die als niedrig eingestuft sind, mindern.

Penetrationstests

  • Automation Anywhere wird mindestens einmal jährlich einem Penetrationstest (Pentest) durch einen externen Anbieter unterzogen, um Sicherheitslücken im Produkt aufzuspüren. Penetrationstests können mehr als einmal im Jahr durchgeführt werden, je nach Umfang und Änderungen am Produktdesign.

    Automation Anywhere veröffentlicht den Testbericht und die Zusammenfassung des Beobachtungsstatus auf dem Compliance-Portal für Automation Anywhere. Einzelheiten finden Sie unter Compliance Portal.

  • Automation Anywhere führt zu jedem neuen Release interne Penetrationstests am Produkt durch, um das Sicherheitsrisiko des Produkts zu überwachen.
Anmerkung: Das Compliance-Portal enthält Berichte über statische Anwendungssicherheitstests (SAST) von Veracode, Open-Source-Software (OSS) und Blackduck, während Berichte von Penetrationstests von Anbietern als Berichte über dynamische Anwendungssicherheitstests (DAST) klassifiziert werden.