Lea y revise la documentación de Automation Anywhere

Cerrar contenidos

Contenidos

Abrir contenidos

Escaneo de cumplimiento y vulnerabilidades

  • Actualizado: 5/10/2019
    • 11.3.x
    • Explorar
    • Enterprise

Escaneo de cumplimiento y vulnerabilidades

Ciclo de vida útil de desarrollo de software seguro (S-SDLC)

Automation Anywhere ha implementado un plan y protocolo de seguridad de desarrollo que define una profundidad específica de pruebas/evaluación que deben llevar a cabo el equipo de ingeniería en cada versión, de acuerdo con las prácticas recomendadas definidas por NIST SA-11 Prueba y evaluación de seguridad del desarrollador y NIST SA-15, Proceso de desarrollo, estándares y herramientas. Este plan ha sido documentado y compartido con los equipos de Ingeniería de Automation Anywhere.

Análisis de código estático y dinámico: Escaneo de vulnerabilidades de Veracode

En cada compilación semanal, durante el proceso de desarrollo y antes de cada versión, todo el software de Automation Anywhere se analiza en busca de fallas mediante el uso de la herramienta Veracode. Automation Anywhere Enterprise cumple los requisitos de la política de seguridad más estricta disponible en la herramienta, Veracode Level 5, que se define como vulnerabilidades de gravedad "Muy alta", "Alta" o "Media". Los informes de análisis están disponibles con cada versión.

Análisis de dependencia

En cada compilación semanal durante el proceso de desarrollo y antes de cada versión, se analizan todas las bibliotecas y dependencias de terceros en el software de Automation Anywhere en busca de vulnerabilidades conocidas utilizando la herramienta Black Duck. Automation Anywhere actualiza las bibliotecas vulnerables cuando hay nuevas versiones disponibles. Los informes de análisis están disponibles con cada versión.

Análisis de vulnerabilidad de red: Escaneo de vulnerabilidades de Nessus

La plataforma de AAE se somete a análisis automatizado de vulnerabilidades de Nessus antes de cada versión para identificar las vulnerabilidades, las configuraciones que violan las políticas y el malware que los piratas informáticos podrían usar para penetrar en AAE. Los resultados se retroalimentan inmediatamente al plan de desarrollo y las vulnerabilidades se corrigen antes de la publicación. Hay disponible un informe.

En lo que se refiere a la política, Automation Anywhere se compromete a hacer los esfuerzos razonables para mitigar o corregir vulnerabilidades críticas y altas dentro de los 30 días posteriores a la identificación de una nueva vulnerabilidad en cualquier producto compatible. Estas políticas cumplen con los requisitos de NIST RA-5.

Pruebas de penetración

Automation Anywhere realiza una prueba de penetración a través de un proveedor externo antes de cada lanzamiento principal. Además, incorporamos la retroalimentación que recibimos de las pruebas de penetración realizadas por nuestros clientes, incluidas algunas de las instituciones financieras más grandes del mundo. Los informes de análisis están disponibles con cada versión.

Enviar comentarios