Análisis de cumplimiento y vulnerabilidades

Revise los detalles sobre el análisis de cumplimiento y vulnerabilidades de Automation Anywhere.

Ciclo de vida de desarrollo de software seguro (S-SDLC)

Automation Anywhere ha implementado un plan y protocolo de seguridad de desarrollo que define pruebas/evaluaciones específicas exhaustivas que debe realizar el equipo de ingeniería en cada versión, de acuerdo con las prácticas recomendadas definidas por el NIST SA-11, Prueba y evaluación de seguridad del desarrollador, y el NIST SA-15, Proceso de desarrollo, estándares y herramientas. Este plan se documentó y compartió con los equipos de Ingeniería de Automation Anywhere.

Análisis de vulnerabilidades de Veracode para análisis de código estático y dinámico

En cada compilación semanal, durante el proceso de desarrollo y antes de cada publicación, todo el software de Automation Anywhere se analiza en busca de fallas mediante el uso de la herramienta Veracode. Automation Anywhere Enterprise cumple los requisitos de la política de seguridad más estricta disponible en la herramienta, Veracode Level 5, que se define como vulnerabilidades de gravedad Muy alta, Alta o Media. Los informes de análisis están disponibles con cada versión.

Análisis de dependencia

En cada compilación semanal, durante el proceso de desarrollo y antes de cada publicación, se analizan todas las bibliotecas y dependencias de terceros en el software de Automation Anywhere en busca de vulnerabilidades conocidas utilizando la herramienta Black Duck. Automation Anywhere actualiza las bibliotecas vulnerables cuando hay nuevas versiones disponibles. Los informes de análisis están disponibles con cada versión.

Todas las vulnerabilidades críticas o altas se corrigen en cada versión. Las vulnerabilidades medias se considerarán para correcciones en futuras versiones dependiendo del alcance de las versiones de Automation Anywhere. La lista de OSS utilizada por la aplicación se publica para cada versión.

Pruebas de penetración

Automation Anywhere realiza una prueba de penetración mediante un proveedor externo antes de cada publicación importante. Además, Automation Anywhere incorpora la retroalimentación de las pruebas de penetración que realizan los clientes, como algunas de las instituciones financieras más grandes del mundo. Los informes de análisis están disponibles con cada versión.