コンプライアンスと脆弱性のスキャン

Automation Anywhere コンプライアンスと脆弱性スキャンの詳細を説明しています。

セキュアなソフトウェア開発ライフサイクル (S-SDLC)

Automation Anywhere では、NIST SA-11 開発者セキュリティ テストおよび評価と NIST SA-15 開発プロセス、標準、およびツールで定義されたベスト プラクティスに従って、各リリースでエンジニアリング チームが実行する特定の深さのテスト/評価を定義する開発セキュリティ計画とプロトコルを実装しました。 この計画は文書化されており、Automation Anywhere のエンジニアリング チームと共有されています。

静的脆弱性スキャン

開発プロセス中およびリリース前に、Veracode ツールを使用して、欠陥がないかすべての Automation Anywhere ソフトウェアがスキャンされます。 Automation Anywhere Enterprise は、ツールで使用できる最も厳格なセキュリティ ポリシーである Veracode レベル 5 の要件を満たしています。これは、重大度が「非常に高」、「高」、「中」の脆弱性がないものとして定義されています。 分析レポートは、各リリースで使用できます。

依存関係分析

Automation Anywhere は、製品における脆弱なオープンソースソフトウェア (OSS) コンポーネント (ライブラリや依存関係) のスキャンと報告のために Black Duck を使用しています。これは、安全な SDLC プロセスの一環です。 リリースプロセスの一環として、Black Duckは既知の脆弱性についてコードをスキャンします。 特定されたすべての古いコンポーネントは、最新のバージョンが利用可能になり次第、更新されます。

クリティカルまたは高リスクとして分類された脆弱性は、リリースが本番環境に入る前に軽減されます。 中程度として分類された脆弱性は、トリアージされ、適用性の分析が行われます。 適用可能と判断された場合、そのような脆弱性は次回のリリースで修正されます。 最後に、低リスクとして分類された脆弱性は、ケースバイケースで修正されます。

私たちのITベストプラクティスは、セキュリティガイドラインに従い、補完的なコントロールの追加層として機能し(深層防御戦略の一部として)、一般的に「低」と見なされるセキュリティ脆弱性を軽減します。

侵入テスト

  • 製品のセキュリティ脆弱性を検出するために、Automation Anywhere には、サードパーティの外部ベンダーが実施する侵入 (PEN) テストを年に 1 回以上実施してください。 侵入テストの頻度は、年に複数回実施することができ、テスト範囲や製品設計の変更に応じて異なります。

    Automation Anywhere は、Automation Anywhere コンプライアンス ポータルにテスト レポートと観測ステースの概要を公開しています。 「Compliance Portal」を参照してください。

  • Automation Anywhere は、リリースごとに社内のセキュリティ侵入専門家による製品の社内侵入テストを実施し、製品のセキュリティ リスクを把握しています。
注: コンプライアンスポータルには、Veracode、オープンソースソフトウェア(OSS)、およびBlackduckからの静的アプリケーションセキュリティテスト(SAST)レポートが含まれており、ベンダーのペネトレーションテストレポートは動的アプリケーションセキュリティテスト(DAST)レポートとして分類されます。