Automation Anywhere Politique de cycle de vie de développement logiciel sécurisé (SSDLC)

Automation Anywhere a mis en œuvre un cadre de cycle de vie de développement logiciel sécurisé (SSDLC) pour développer et livrer Automation 360 ainsi que l\'ensemble de sa suite de produits et solutions logiciels d\'IA combinés à l\'automatisation pour ses clients.

Portée

Ce document définit et répertorie les vérifications de conception, les outils et les processus respectifs qui ont été intégrés dans la méthodologie du cycle de vie du développement logiciel. Cela aide à identifier et à résoudre en temps opportun divers types de menaces et de vulnérabilités de sécurité de manière continue.

La suite d\'applications Automation 360, les modules de produit, les composants logiciels open source tiers, les bibliothèques et les packages qui sont soit développés, publiés, livrés, gérés, pris en charge ou détenus par Automation Anywhere sont inclus dans le champ d\'application de la politique.

Stratégie

Les trois phases suivantes font partie de la politique du SDLC sécurisé (cycle de vie du développement logiciel) :

1. Phase de conception des exigences et de la sécurité

Lors de la phase initiale de collecte des exigences et de conception du prototype, un modèle de menace de sécurité et une revue architecturale sont effectués en fonction des cas d\'utilisation et des flux de données, afin que divers risques de sécurité, de confidentialité et de conformité soient identifiés tôt dans le processus pour une atténuation rapide avant la mise en production.

2. Phase de développement sécurisé

Pendant la phase de développement, deux types de vérifications de vulnérabilités sont effectuées de manière continue.

  • Test de sécurité des applications statiques (SAST) pour l\'analyse du code Automation Anywhere développé

    Automation Anywhere utilise l\'analyse statique (SAST) de Veracode® pour évaluer en continu les vulnérabilités logicielles de notre produit dans le cadre du processus SSDLC. Toutes les vulnérabilités critiques, élevées et moyennes doivent être résolues ou atténuées, et un statut vérifié Veracode de niveau 5 doit être atteint avant chaque lancement de produit. Les vulnérabilités mineures sont évaluées et analysées pour déterminer leur applicabilité et, si elles sont jugées applicables, elles sont corrigées dans les versions ultérieures au cas par cas. Ce rapport sera disponible sous un titre similaire, tel que Veracode Reports sur la page Apeople et le portail de conformité pour chaque version de produit Sur site et cloud.

  • Analyse des dépendances et balayage des logiciels open source

    Pour l\'évaluation des vulnérabilités dans les composants logiciels open source utilisés dans le produit, nous utilisons le scanner de vulnérabilités Black Duck®. Ce rapport sera disponible sous un titre similaire, tel que Rapports OSS dans le portail de conformité. Nous corrigeons les vulnérabilités marquées comme élevées et critiques avant la sortie du produit, et les vulnérabilités de gravité moyenne sont corrigées dans les versions ultérieures. Les vulnérabilités mineures sont évaluées et analysées pour déterminer leur applicabilité et, si elles sont jugées applicables, elles sont corrigées dans la version suivante au cas par cas. Ce rapport de vulnérabilité est disponible sur le portail de conformité pour chaque version de produit Sur site et cloud.

De plus, pour les versions basées sur cloud hébergées sur des instances de Automation Anywhere Software as a Service (SaaS), tous les conteneurs de produits sont scannés en continu pour identifier, suivre et résoudre toutes les vulnérabilités critiques et de haute gravité.

3. pendant la phase de test de sécurité

Lors de chaque version, une analyse de sécurité des applications dynamiques (DAST), suivie de divers autres tests de pénétration basés sur les listes de contrôle du cadre de l\'Open Worldwide Application Security Project (OWASP), est effectuée pour identifier, évaluer et résoudre régulièrement les vulnérabilités sur les dernières versions des builds. Selon la politique de publication, toutes les constatations critiques et de haute gravité doivent être atténuées ou résolues avant la publication, tandis que les constatations de gravité moyenne et faible sont résolues dans une publication ultérieure conformément au SLA (accord de niveau de service). Automation Anywhere effectue le scan DAST en interne dans le cadre du processus de vérification et de validation du produit.

Les étapes suivantes aident Automation Anywhere à mener une évaluation de sécurité approfondie et systématique de l\'application pour identifier les vulnérabilités, évaluer leur impact potentiel et fournir une réponse structurée pour la remédiation.
  1. Automation Anywhere engage un consultant en sécurité des applications tiers pour mener un exercice indépendant de test d\'intrusion sur la dernière version publiée et déployée des applications. Ce test est effectué une fois par an.
  2. Après la réalisation du test de pénétration, les résultats identifiés sont évalués et validés par Automation Anywhere.
  3. La gravité réelle des risques est déterminée par Automation Anywhere en utilisant une série de conditions de triage. Ces conditions sont basées sur des classements et des cadres standards de l\'industrie, tels que le système de notation des vulnérabilités communes (CVSS), et prennent en compte la probabilité d\'exploitation.
  4. Après que les niveaux de gravité ont été établis, le rapport original de test d\'intrusion est publié dans le portail de conformité. Avec le rapport, Automation Anywhere fournit une explication des conclusions et des délais pour résoudre les problèmes identifiés, au cas par cas sous forme de rapport.