Überprüfung der Compliance und Schwachstellen

Überprüfen Sie die Details zur Überprüfung der Compliance und Schwachstellen von Automation Anywhere.

Secure Software Development Lifecycle (S-SDLC)

Automation Anywhere hat einen Entwicklungssicherheitsplan und ein Entwicklungssicherheitsprotokoll implementiert, das eine bestimmte Tiefe für Tests und Evaluierungen definiert, die vom Engineering-Team für jede Version in Übereinstimmung mit den Best Practices gemäß NIST SA-11 „Sicherheitstests und Evaluierung durch Entwickler“ und NIST SA-15 „Entwicklungsprozess, Standards und Tools“ durchgeführt werden müssen. Dieser Plan wurde dokumentiert und mit den Engineering-Teams von Automation Anywhere geteilt.

Veracode-Schwachstellenüberprüfung für statische und dynamische Codeanalysen

Bei jedem wöchentlichen Build während des Entwicklungsprozesses und vor jeder Veröffentlichung wird die gesamte Automation Anywhere-Software mit dem Veracode-Tool auf Fehler überprüft. Automation Anywhere Enterprise erfüllt die Anforderungen für die strengste, im Tool „Veracode Level 5“ verfügbare Sicherheitsrichtlinie, die als Schwachstellen mit keinem „sehr hohen“, „hohen“ oder „mittleren“ Schweregrad definiert ist. Analyseberichte sind mit jeder Version verfügbar.

Abhängigkeitsanalyse

Bei jedem wöchentlichen Build während des Entwicklungsprozesses und vor jeder Veröffentlichung werden alle Bibliotheken und Abhängigkeiten von Drittanbietern in der Software von Automation Anywhere mit dem Black Duck-Tool auf bekannte Schwachstellen überprüft. Automation Anywhere aktualisiert anfällige Bibliotheken, wenn neue Versionen verfügbar werden. Analyseberichte sind mit jeder Version verfügbar.

Alle kritischen/hohen Sicherheitslücken werden in jeder Version behoben. Mittlere Sicherheitslücken werden je nach Umfang der Automation Anywhere-Versionen für die Korrektur in zukünftigen Versionen in Betracht gezogen. Die Liste der von der Anwendung verwendeten OSS wird für jede Version veröffentlicht.

Penetrationstests

Automation Anywhere führt vor jeder Hauptversion einen Penetrationstest über einen Drittanbieter durch. Darüber hinaus berücksichtigt Automation Anywhere das Feedback der von den Kunden durchgeführten Penetrationstests, zu denen einige der größten Finanzinstitute der Welt gehören. Analyseberichte sind mit jeder Version verfügbar.