Analyse de la conformité et de la vulnérabilité
- Dernière mise à jour2021/10/09
Analyse de la conformité et de la vulnérabilité
Examen des détails sur l'analyse de conformité et de vulnérabilité de Automation Anywhere.
Cycle de vie SDLC sécurisé (S-SDLC)
Automation Anywhere a mis en œuvre un protocole et plan de sécurité de développement qui définit les détails spécifiques de l'évaluation/des tests à exécuter par l'équipe d'ingénieurs sur chaque version, en respectant les bonnes pratiques telles que définies par les normes NIST SA-11 Évaluation et tests de sécurité des développeurs et NIST SA-15, Processus de développement, normes et outils. Ce plan a été documenté et partagé avec les équipes d'ingéniérie Automation Anywhere.
Analyse de vulnérabilité Veracode pour l'analyse de code statique et dynamique
Sur chaque livraison hebdomadaire, lors du processus de développement et avant chaque publication, tous les logiciels Automation Anywhere sont analysés pour rechercher des failles à l'aide de l'outil Veracode. Automation Anywhere Enterprise répond aux besoins en faveur d'une politique de sécurité plus stricte disponible dans l'outil, Veracode Level 5, qui est définie sans vulnérabilité de gravité « Très élevée », « Élevée » ou « Moyenne ». Les rapports d'analyse sont disponibles avec chaque version.
Analyse de la dépendance
Dans chaque livraison hebdomadaire pendant le processus de développement et avant chaque publication, toutes les bibliothèques tierces et dépendances dans le logiciel de Automation Anywhere sont analysées pour rechercher des vulnérabilités connues à l'aide de l'outil Black Duck. Automation Anywhere met à jour les bibliothèques vulnérables lorsque de nouvelles versions sont disponibles. Les rapports d'analyse sont disponibles avec chaque version.
Toutes les vulnérabilités critiques/élevées sont corrigées pour chaque version. Des vulnérabilités moyennes seront envisagées pour les correctifs dans les versions futures en fonction de la portée des versions Automation Anywhere. La liste des OSS utilisés par l'application est publiée pour chaque version.
Tests de pénétration
Automation Anywhere effectue un test de pénétration via un fournisseur tiers avant chaque version majeure. En outre, Automation Anywhere incorpore les commentaires que nous recevons des tests de pénétration effectués par nos clients, parmi lesquels figurent certaines des grandes institutions financières mondiales. Les rapports d'analyse sont disponibles avec chaque version.