Automation Anywhere Secure Software Development Lifecycle (SSDLC)-Richtlinie

Automation Anywhere hat ein sicheres Software-Entwicklungslebenszyklus-Framework (SSDLC) implementiert, um Automation 360 und die gesamte Suite von KI- und Automatisierungssoftwareprodukten und -lösungen für seine Kunden zu entwickeln und bereitzustellen.

Umfang

Dieses Dokument definiert und listet die jeweiligen Designprüfungen, Werkzeuge und Prozesse auf, die in die Methodik des Softwareentwicklungslebenszyklus integriert wurden. Dies hilft bei der rechtzeitigen Identifizierung und Behebung verschiedener Arten von Sicherheitsbedrohungen und Schwachstellen auf kontinuierlicher Basis.

Die Automation 360 Suite von Anwendungen, Produktmodulen, Open-Source-Softwarekomponenten von Drittanbietern, Bibliotheken und Paketen, die entweder von Automation Anywhere entwickelt, veröffentlicht, bereitgestellt, verwaltet, unterstützt oder besessen werden, fallen in den Geltungsbereich der Richtlinie.

Richtlinie

Die folgenden drei Phasen sind Teil der Secure SDLC (Software Development Life Cycle)-Richtlinie:

1. Anforderungen und Sicherheitsentwurfsphase

Während der anfänglichen Anforderungsanalyse und der Prototyp-Designphase wird ein Sicherheitsbedrohungsmodell und eine Architekturüberprüfung basierend auf den Anwendungsfällen und Datenflüssen durchgeführt, damit verschiedene Sicherheits-, Datenschutz- und Compliance-Risiken frühzeitig im Prozess identifiziert und rechtzeitig vor der Veröffentlichung gemindert werden können.

2. Sichere Entwicklungsphase

Während der Entwicklungsphase werden kontinuierlich zwei Arten von Schwachstellenprüfungen durchgeführt.

  • Statische Anwendungssicherheitstests (SAST) zur Analyse von Automation Anywhere entwickeltem Code

    Automation Anywhere nutzt den Veracode® Static Analysis (SAST) Code-Scanner, um im Rahmen des SSDLC-Prozesses kontinuierlich Software-Schwachstellen in unserem Produkt zu bewerten. Alle kritischen, hohen und mittleren Schwachstellen müssen behoben oder gemindert werden, und ein Veracode-verifizierter Status von Veracode Level 5 muss vor jeder Produktveröffentlichung erreicht werden. Die geringen Schwachstellen werden auf ihre Anwendbarkeit hin bewertet und analysiert. Wenn sie als anwendbar eingestuft werden, werden sie in den nachfolgenden Versionen von Fall zu Fall behoben. Dieser Bericht wird unter einer ähnlichen Überschrift, wie Veracode-Berichte auf der Apeople-Seite und dem Compliance-Portal für jede Lokal und Cloud Produktveröffentlichung verfügbar sein.

  • Open-Source-Software-Scanning und Abhängigkeitsanalyse

    Für die Schwachstellenbewertung in Open-Source-Softwarekomponenten, die im Produkt verwendet werden, nutzen wir den Black Duck® Schwachstellenscanner. Dieser Bericht wird unter einer ähnlichen Überschrift, wie zum Beispiel OSS-Berichte, im Compliance-Portal verfügbar sein. Wir beheben die als hoch und kritisch markierten Schwachstellen vor der Veröffentlichung des Produkts, und die Schwachstellen mit mittlerer Schwere werden in den nachfolgenden Versionen behoben. Die niedrigen Schwachstellen werden auf ihre Anwendbarkeit hin bewertet und analysiert. Wenn sie als anwendbar eingestuft werden, werden sie im darauffolgenden Release von Fall zu Fall behoben. Dieser Schwachstellenbericht ist im Compliance-Portal für jede Lokal- und Cloud-Produktveröffentlichung verfügbar.

Zusätzlich werden bei Cloud-basierten Releases, die auf Automation Anywhere Software as a Service (SaaS)-Instanzen gehostet werden, alle Produktcontainer kontinuierlich gescannt, um alle kritischen und schwerwiegenden Schwachstellen zu identifizieren, zu verfolgen und zu beheben.

3. Sicherheitstestphase

Bei jeder Veröffentlichung wird ein dynamischer Anwendungssicherheitstest (DAST) durchgeführt, gefolgt von verschiedenen anderen Penetrationstests, die auf den Checklisten des Open Worldwide Application Security Project (OWASP) basieren, um regelmäßig Schwachstellen in den neuesten Release-Builds zu identifizieren, zu bewerten und zu beheben. Gemäß der Freigaberichtlinie müssen alle kritischen und schwerwiegenden Befunde vor der Freigabe behoben oder gelöst werden, während die mittel- und geringfügigen Befunde in einer nachfolgenden Freigabe gemäß dem SLA (Service-Level-Agreement) behoben werden. Automation Anywhere führt den DAST-Scan intern im Rahmen des Produktverifizierungs- und Validierungsprozesses durch.

Die folgenden Schritte helfen Automation Anywhere, eine gründliche und systematische Sicherheitsbewertung der Anwendung durchzuführen, um Schwachstellen zu identifizieren, deren potenzielle Auswirkungen zu bewerten und eine strukturierte Antwort zur Behebung bereitzustellen.
  1. Automation Anywhere beauftragt einen externen Anwendungssicherheitsberater, um einen unabhängigen Penetrationstest der neuesten veröffentlichten und bereitgestellten Version der Anwendungen durchzuführen. Diese Prüfung wird einmal im Jahr durchgeführt.
  2. Nach Abschluss des Penetrationstests werden die identifizierten Ergebnisse von Automation Anywhere bewertet und validiert.
  3. Die tatsächliche Schwere der Risiken wird von Automation Anywhere anhand einer Reihe von Triage-Bedingungen bestimmt. Diese Bedingungen basieren auf branchenüblichen Rankings und Rahmenwerken, wie dem Common Vulnerability Scoring System (CVSS), und berücksichtigen die Wahrscheinlichkeit einer Ausnutzung.
  4. Nachdem die Schweregradbewertungen festgelegt wurden, wird der ursprüngliche Penetrationstestbericht im Compliance-Portal veröffentlicht. Zusammen mit dem Bericht liefert Automation Anywhere eine Erklärung der Ergebnisse und Zeitpläne zur Behebung der identifizierten Probleme, fallweise in Form eines Berichts.