Automation Anywhere セキュアなソフトウェア開発ライフサイクル (SSDLC) ポリシー

Automation Anywhere は、顧客向けに Automation 360 とその全てのAIと自動化ソフトウェア製品およびソリューションを開発・提供するための安全なソフトウェア開発ライフサイクル (SSDLC) フレームワークを実装しました。

範囲

この文書は、ソフトウェア開発ライフサイクルに統合されたそれぞれの設計チェック、ツール、およびプロセスを定義し、リスト化したものです。 これにより、さまざまな種類のセキュリティ脅威や脆弱性を継続的にタイムリーに特定し、解決することができます。

Automation 360 によって開発、リリース、配信、管理、サポート、または所有されている Automation Anywhereアプリケーションスイート、製品モジュール、サードパーティのオープンソースソフトウェアコンポーネント、ライブラリおよびパッケージは、ポリシーの範囲内です。

ポリシー

次の3つの段階は、Secure SDLC (ソフトウェア開発ライフサイクル) ポリシーの一部です。

1. 要件とセキュリティ設計段階

初期の要件収集とプロトタイプ設計の段階では、事例とデータフローに基づいてセキュリティ脅威モデルとアーキテクチャレビューが実施され、リリース前にタイムリーに軽減するために、さまざまなセキュリティ、プライバシー、およびコンプライアンスのリスクがプロセスの早い段階で特定されます。

2. セキュア開発段階

開発段階では、2種類の脆弱性チェックが継続的に実施されます。

  • 静的アプリケーションセキュリティテスト (SAST) による Automation Anywhere 開発コードの分析

    Automation Anywhere は、Veracode® 静的解析 (SAST) コードスキャナーを利用して、SSDLC プロセスの一環として当社の製品におけるソフトウェアの脆弱性を継続的に評価します。 すべての重大、高、中レベルの脆弱性は解決または軽減されなければならず、すべての製品リリースの前にVeracode Level 5のVeracode確認済みステータスを達成する必要があります。 低い脆弱性は適用性について評価および分析され、適用可能と判断された場合は、ケースバイケースで次回のリリースで修正されます。 このレポートは、Apeopleページおよびコンプライアンス ポータルVeracode Reportsのような類似の見出しの下で、すべてのオンプレミスおよびクラウド製品リリースに対して利用可能になります。

  • オープンソースソフトウェアのスキャンと依存関係分析

    製品に使用されるオープンソースソフトウェアコンポーネントの脆弱性評価には、Black Duck® 脆弱性スキャナーを使用します。 このレポートは、OSSレポート のような類似の見出しの下で、コンプライアンスポータル で利用可能になります。 製品のリリース前に高および重大な脆弱性を修正し、中程度の深刻度の脆弱性はその後のリリースで修正されます。 低い脆弱性は適用性のために評価および分析され、適用可能であると判断された場合は、ケースバイケースで次回のリリースで修正されます。 この脆弱性レポートは、すべての および 製品リリースのためにオンプレミス コンプライアンス ポータル クラウドで利用可能です。

さらに、クラウドソフトウェアとしてのサービス (SaaS) インスタンスでホストされている Automation Anywhere ベースのリリースについては、すべての製品コンテナが継続的にスキャンされ、すべての重大および高深刻度の脆弱性を特定、追跡、解決します。

3. セキュリティテスト段階

リリースごとに、OWASP(Open Worldwide Application Security Project)のフレームワークチェックリストに基づくDAST(Dynamic Application Security Testing)スキャンと、それに続くさまざまなペネトレーションテストを実施し、最新リリースのビルドにおける脆弱性を定期的に特定、評価、解決しています。 リリース方針に従い、重大および高重大度のすべての指摘事項はリリース前に緩和または解決されなければなりません。一方、中程度および低重大度の指摘事項は、SLA(サービスレベル契約)に従い、その後のリリースで解決されます。 Automation Anywhere は、製品の検証およびバリデーションプロセスの一環として、内部でDASTスキャンを実施します。

次のステップは、オートメーション・エニウェア がアプリケーションの徹底的かつ体系的なセキュリティを評価し、脆弱性を特定、その潜在的な影響を評価、修正のための構造化された対応を提供するのに役立ちます。
  1. Automation Anywhereは、最新のリリースおよび展開されたアプリケーションのバージョンに対して、独立したペネトレーションテストを実施するために、第三者のアプリケーションセキュリティコンサルタントを雇っています。 このテストは年に一度行われます。
  2. ペネトレーションテストが完了した後、特定された所見はAutomation Anywhereによって評価および検証されます。
  3. リスクの実際の重大度は、Automation Anywhereが一連のトリアージ条件を使用して決定します。 これらの条件は、一般的な脆弱性評価システム(CVSS)などの業界標準のランキングやフレームワークに基づいており、悪用の可能性を考慮したものです。
  4. 深刻度評価が確立された後、元のペネトレーションテスト報告書が コンプライアンスポータル に掲載されます。 レポートと共に、Automation Anywhere は、特定された問題に対処するための所見とタイムラインをケースバイケースで報告書の形で提供します。