Analyse de la conformité et de la vulnérabilité

Examen des détails sur l\'analyse de conformité et de vulnérabilité de Automation Anywhere.

Cycle de vie SDLC sécurisé (S-SDLC)

Automation Anywhere a mis en œuvre un protocole et plan de sécurité de développement qui définit les détails spécifiques de l\'évaluation/des tests à exécuter par l\'équipe d\'ingénieurs sur chaque version, en respectant les bonnes pratiques telles que définies par les normes NIST SA-11 Évaluation et tests de sécurité des développeurs et NIST SA-15, Processus de développement, normes et outils. Ce plan a été documenté et partagé avec les équipes d\'ingéniérie Automation Anywhere.

Analyse de vulnérabilités statiques

Lors du processus de développement et avant chaque publication, tous les logiciels Automation Anywhere sont analysés pour rechercher des failles à l\'aide de l\'outil Veracode. Automation Anywhere Enterprise répond aux besoins en faveur d\'une politique de sécurité plus stricte disponible dans l\'outil, Veracode Level 5, qui est définie sans vulnérabilité de gravité « Très élevée », « Élevée » ou « Moyenne ». Les rapports d\'analyse sont disponibles avec chaque version.

Analyse de la dépendance

Automation Anywhere utilise Black Duck pour analyser et signaler les composants de logiciels open-source (OSS) vulnérables (bibliothèques et dépendances) dans nos produits dans le cadre d\'un processus SDLC sécurisé. Dans le cadre de notre processus de publication, Black Duck analysera le code à la recherche de vulnérabilités connues. Tous les composants identifiés et obsolètes seront mis à jour avec les versions les plus récentes au fur et à mesure de leur disponibilité.

Toutes les vulnérabilités qualifiées de Critiques ou Élevées sont atténuées avant que la version n\'entre en production. Les vulnérabilités qualifiées de Moyennes sont triées et analysées pour leur applicabilité. Si déterminé comme applicable, de telles vulnérabilités sont corrigées dans les versions suivantes. Enfin, les vulnérabilités qualifiées de Faible sont corrigées au cas par cas.

Nos meilleures pratiques informatiques, en conformité avec nos directives de sécurité, fonctionnent comme une couche supplémentaire de contrôles compensatoires (dans le cadre d\'une stratégie de défense en profondeur) et atténueraient généralement les vulnérabilités de sécurité qualifiées de faibles.

Tests de pénétration

  • Automation Anywhere procède à un test de pénétration (PEN) par le biais d\'un fournisseur externe tiers pour détecter les failles de sécurité du produit au moins une fois par an. La fréquence du test de pénétration peut être effectuée plus d\'une fois par an et dépend de la portée et des modifications de la conception du produit.

    Automation Anywhere publie le rapport du test et le résumé du statut d\'observation sur le portail de conformité Automation Anywhere. Reportez-vous à la rubrique Compliance Portal.

  • Automation Anywhere effectue un test de pénétration interne du produit pour chaque version par des experts internes en pénétration de la sécurité afin de garder une trace du risque de sécurité dans le produit.
Remarque : Le portail de conformité inclut des rapports de tests de sécurité des applications statiques (SAST) de Veracode, de logiciels open source (OSS) et de Blackduck, tandis que les rapports de tests d\'intrusion des fournisseurs sont classés comme des rapports de tests de sécurité des applications dynamiques (DAST).