コンプライアンスと脆弱性のスキャン
- 最終更新日2020/12/11
コンプライアンスと脆弱性のスキャン
Automation Anywhere コンプライアンスと脆弱性スキャンの詳細を説明しています。
セキュアなソフトウェア開発ライフサイクル (S-SDLC)
Automation Anywhere では、NIST SA-11 開発者セキュリティ テストおよび評価と NIST SA-15 開発プロセス、標準、およびツールで定義されたベスト プラクティスに従って、各リリースでエンジニアリング チームが実行する特定の深さのテスト/評価を定義する開発セキュリティ計画とプロトコルを実装しました。この計画は文書化されており、Automation Anywhere のエンジニアリング チームと共有されています。
静的および動的なコード分析のための Veracode 脆弱性スキャン
開発プロセス中およびリリース前の週ごとのビルドでは、Veracode ツールを使用して、欠陥がないかすべての Automation Anywhere ソフトウェアがスキャンされます。Automation Anywhere Enterprise は、ツールで使用できる最も厳格なセキュリティ ポリシーである Veracode レベル 5 の要件を満たしています。これは、重大度が「非常に高」、「高」、「中」の脆弱性がないものとして定義されています。分析レポートは、各リリースで使用できます。
依存関係分析
開発プロセス中およびリリース前の毎週のビルドでは、Black Duck ツールを使用して、既知の脆弱性がないか Automation Anywhere ソフトウェアのサードパーティのライブラリと依存関係のすべてがスキャンされます。Automation Anywhere では、新しいバージョンが利用可能になったときに、脆弱なライブラリをアップグレードします。分析レポートは、各リリースで使用できます。
重要な脆弱性と高脆弱性は、リリースのたびに修正されます。将来のリリースでは、Automation Anywhere のリリースの範囲に応じて、中脆弱性も修正することが検討されます。アプリケーションが使用する OSS のリストは、リリースのたびに公開されます。
侵入テスト
Automation Anywhere は、各メジャー リリースの前に、サードパーティ ベンダーを介して侵入テストを実施しています。また、Automation Anywhere では、世界最大級の金融機関を含む、お客様が実施した侵入テストからのフィードバックを取り入れています。分析レポートは、各リリースで使用できます。