Política de Ciclo de Vida Útil de Desarrollo de Software Seguro (SSDLC) de Automation Anywhere

Automation Anywhere ha implementado un marco de Ciclo de Vida de Desarrollo de Software Seguro (SSDLC) para desarrollar y entregar Automation 360 y toda su suite de productos y soluciones de software de IA combinada con Automatización para sus clientes.

Alcance

Este documento define y enumera las verificaciones de diseño, herramientas y procesos respectivos que se han integrado en la metodología del ciclo de vida del desarrollo de software. Esto ayuda en la identificación y resolución oportuna de varios tipos de amenazas y vulnerabilidades de seguridad de manera continua.

La suite de aplicaciones Automation 360, los módulos de productos, los componentes de software de código abierto de terceros, las bibliotecas y los paquetes que son desarrollados, lanzados, entregados, gestionados, respaldados o propiedad de Automation Anywhere están dentro del alcance de la política.

Política

Las siguientes tres fases son parte de la política del SDLC (ciclo de vida de desarrollo de software) seguro:

1. Fase de diseño de requisitos y seguridad

Durante la fase inicial de recopilación de requisitos y diseño de prototipos, se realiza un modelo de amenazas de seguridad y una revisión arquitectónica basados en los casos de uso y flujos de datos, de modo que varios riesgos de seguridad, privacidad y cumplimiento se identifiquen temprano en el proceso para su mitigación oportuna antes del lanzamiento.

2. Fase de desarrollo seguro

Durante la fase de desarrollo, se realizan de manera continua dos tipos de verificaciones de vulnerabilidades.

  • Pruebas de Seguridad de Aplicaciones Estáticas (SAST) para el análisis del código desarrollado por Automation Anywhere

    Automation Anywhere utiliza el escáner de código de Análisis Estático (SAST) de Veracode® para evaluar continuamente las vulnerabilidades de software en nuestro producto como parte del proceso SSDLC. Todas las vulnerabilidades críticas, altas y medias deben ser resueltas o mitigadas, y se debe alcanzar un estado verificado de Veracode de Nivel 5 antes de cada lanzamiento de producto. Las vulnerabilidades bajas se evalúan y analizan para determinar su aplicabilidad, y si se determina que son aplicables, se corrigen en los lanzamientos posteriores caso por caso. Este informe estará disponible bajo un encabezado similar, como Informes Veracode en la página de Apeople y el portal de cumplimiento para cada lanzamiento de producto Local y Nube.

  • Escaneo de software de código abierto y análisis de dependencias

    Para la evaluación de vulnerabilidades en los componentes de software de código abierto utilizados en el producto, utilizamos el escáner de vulnerabilidades Black Duck®. Este informe estará disponible bajo un encabezado similar, como Informes OSS en el portal de cumplimiento. Arreglamos las vulnerabilidades marcadas como altas y críticas antes del lanzamiento del producto, y las vulnerabilidades de severidad media se solucionan en los lanzamientos posteriores. Las vulnerabilidades bajas se evalúan y analizan para determinar su aplicabilidad, y si se determina que son aplicables, se corrigen en los lanzamientos posteriores caso por caso. Este informe de vulnerabilidad está disponible en el portal de cumplimiento para cada lanzamiento de producto Local y Nube.

Además, para las versiones basadas en Nube alojadas en instancias de Software como Servicio (SaaS) de Automation Anywhere, todos los contenedores de productos se escanean de manera continua para identificar, rastrear y resolver todas las vulnerabilidades críticas y de alta severidad.

3. Fase de pruebas de seguridad

Durante cada lanzamiento, se realiza un escaneo de Pruebas de Seguridad de Aplicaciones Dinámicas (DAST), seguido de varias otras pruebas de penetración, basadas en las listas de verificación del marco del Proyecto Abierto de Seguridad de Aplicaciones (OWASP), para identificar, evaluar y resolver con regularidad las vulnerabilidades en las últimas versiones de lanzamiento. Según la política de lanzamiento, todos los hallazgos críticos y de alta severidad deben ser mitigados o resueltos antes del lanzamiento, mientras que los hallazgos de severidad media y baja se resuelven en un lanzamiento posterior según el SLA (acuerdo de nivel de servicio). Automation Anywhere realiza el escaneo DAST interno como parte del proceso de verificación y validación del producto.

Los siguientes pasos ayudan a Automation Anywhere a realizar una evaluación de seguridad exhaustiva y sistemática de la aplicación para identificar vulnerabilidades, evaluar su potencial impacto y proporcionar una respuesta estructurada para la remediación.
  1. Automation Anywhere contrata a un consultor externo de seguridad de aplicaciones para llevar a cabo un ejercicio independiente de pruebas de penetración en la última versión lanzada y desplegada de las aplicaciones. Esta prueba se realiza una vez al año.
  2. Después de que se complete la prueba de penetración, los hallazgos identificados son evaluados y validados por Automation Anywhere.
  3. La gravedad real de los riesgos es determinada por Automation Anywhere mediante una serie de condiciones de triaje. Estas condiciones se basan en clasificaciones y marcos estándar de la industria, como el Sistema Común de Valoración de Vulnerabilidades (CVSS), y toman en cuenta la probabilidad de explotación.
  4. Después de que se establecen las calificaciones de severidad, el informe original de pruebas de penetración se publica en el portal de cumplimiento. Junto con el informe, Automation Anywhere proporciona una explicación de los hallazgos y los plazos para abordar los problemas identificados, en forma de informe caso por caso.