Análisis de cumplimiento y vulnerabilidades

Revise los detalles sobre el análisis de cumplimiento y vulnerabilidades de Automation Anywhere.

Ciclo de vida de desarrollo de software seguro (S-SDLC)

Automation Anywhere ha implementado un plan y protocolo de seguridad de desarrollo que define pruebas/evaluaciones específicas exhaustivas que debe realizar el equipo de ingeniería en cada versión, de acuerdo con las prácticas recomendadas definidas por el NIST SA-11, Prueba y evaluación de seguridad del desarrollador, y el NIST SA-15, Proceso de desarrollo, estándares y herramientas. Este plan se documentó y compartió con los equipos de Ingeniería de Automation Anywhere.

Escaneo estático de vulnerabilidades

Durante el proceso de desarrollo y antes de cada publicación, todo el software de Automation Anywhere se analiza en busca de fallas mediante el uso de la herramienta Veracode. Automation Anywhere Enterprise cumple los requisitos de la política de seguridad más estricta disponible en la herramienta, Veracode Level 5, que se define como vulnerabilidades de gravedad Muy alta, Alta o Media. Los informes de análisis están disponibles con cada versión.

Análisis de dependencia

Automation Anywhere utiliza Black Duck para escanear e informar sobre componentes de software de código abierto (OSS) vulnerables (bibliotecas y dependencias) en nuestros productos como parte de un proceso SDLC seguro. Como parte de nuestro proceso de lanzamiento, Black Duck escaneará el código en busca de vulnerabilidades conocidas. Todos los componentes identificados y obsoletos se actualizarán con las versiones más recientes a medida que estén disponibles.

Cualquier vulnerabilidad calificada como crítica o alta se mitiga antes de que la versión entre en producción. Las vulnerabilidades calificadas como Medias son clasificadas y analizadas para su aplicabilidad. Si se determina que son aplicables, dichas vulnerabilidades se corrigen en las versiones posteriores. Por último, las vulnerabilidades calificadas como bajas se solucionan caso por caso.

Nuestras mejores prácticas de TI, en cumplimiento de nuestras pautas de seguridad, funcionan como una capa adicional de controles compensatorios (como parte de una estrategia de defensa en profundidad) y generalmente mitigarían las vulnerabilidades de seguridad calificadas como Bajas.

Pruebas de penetración

  • Automation Anywhere obtiene una prueba de penetración (PEN) realizada por un proveedor externo para detectar vulnerabilidades de seguridad en el producto al menos una vez al año. La frecuencia de la prueba de penetración se puede realizar más de una vez al año y depende del alcance y de los cambios en el diseño del producto.

    Automation Anywhere publica el informe de prueba y el resumen del estado de observación en el portal de cumplimiento de Automation Anywhere. Consulte Compliance Portal.

  • Automation Anywhere realiza pruebas de penetración internas del producto para cada lanzamiento realizadas por expertos internos en penetración de seguridad a fin de realizar un seguimiento del riesgo de seguridad en el producto.
Nota: El Portal de cumplimiento incluye informes de pruebas de seguridad de aplicaciones estáticas (Static Application Security Testing, SAST) de Veracode, software de código abierto (Open-Source Software, OSS) y Blackduck, mientras que los informes de pruebas de penetración de proveedores se clasifican como informes de pruebas de seguridad de aplicaciones dinámicas (Dynamic Application Security Testing, DAST).