규정 준수 및 취약점 검사

Automation Anywhere 규정 준수 및 취약성 검사에 대한 세부 정보를 검토합니다.

S-SDLC(보안 소프트웨어 개발 수명 주기)

Automation Anywhere는 NIST SA-11 개발자 보안 테스트 및 평가와 NIST SA-15, 개발 프로세스, 표준 및 도구에 정의된 모범 사례를 준수하여 각 릴리스에서 엔지니어링 팀이 수행할 테스트 및 평가의 특정 깊이를 정의하는 개발 보안 계획 및 프로토콜을 구현했습니다. 이 계획은 문서화되고 Automation Anywhere 엔지니어링 팀과 공유되었습니다.

정적 취약점 검사

모든 Automation Anywhere 소프트웨어는 개발 프로세스 중 및 모든 릴리스 이전에 Veracode 도구를 사용하여 결함을 검사합니다. Automation Anywhere Enterprise는 도구에서 사용할 수 있는 가장 엄격한 보안 정책인 Veracode Level 5에 대한 요구 사항을 충족하며, 이는 매우 높음, 높음 또는 보통 심각도 취약성으로 정의되지 않습니다. 분석 보고서는 각 릴리스에서 사용할 수 있습니다.

종속성 분석

Automation Anywhere는 안전한 SDLC 프로세스의 일환으로 제품에서 취약한 OSS(오픈 소스 소프트웨어) 구성 요소(라이브러리 및 종속성)를 검사하고 보고하기 위해 Black Duck을 사용합니다. 릴리스 프로세스의 일환으로, Black Duck은 알려진 취약점에 대해 코드를 검사합니다. 식별된 모든 오래된 구성 요소는 최신 버전이 제공되는 대로 업데이트됩니다.

심각 또는 높음 등급의 모든 취약점은 릴리스가 프로덕션에 들어가기 전에 완화됩니다. 보통 등급의 취약점은 분류되어 적용 가능성을 분석합니다. 적용 가능한 것으로 판단되면 이러한 취약점은 이후 릴리스에서 수정됩니다. 마지막으로, 낮음 등급의 취약점은 케이스별로 수정됩니다.

보안 지침을 준수하는 당사의 IT 모범 사례는 방어 심층 전략의 일환으로 추가적인 제어 계층의 역할을 하며, 일반적으로 낮음 등급의 보안 취약점을 완화합니다.

침투 테스트

  • Automation Anywhere는 제품의 보안 취약점을 탐지하기 위해 외부 타사 공급업체로부터 최소 1년에 한 번씩 침투(PEN) 테스트를 받습니다. 침투 테스트는 1년에 한 번 이상의 빈도로 수행할 수 있으며, 범위와 제품 설계 변경에 따라 달라집니다.

    Automation AnywhereAutomation Anywhere 규정 준수 포털에 테스트 보고서와 준수 상태 요약을 게시합니다. Compliance Portal 항목을 참조하십시오.

  • Automation Anywhere는 제품의 보안 위험을 추적하기 위해 사내 보안 침투 전문가가 매 릴리스마다 제품에 대한 내부 침투 테스트를 수행합니다.
주: 규정 준수 포털에는 Veracode, OSS(오픈 소스 소프트웨어), Blackduck의 SAST(정적 애플리케이션 보안 테스트) 보고서가 포함되어 있으며, 공급업체 침투 테스트 보고서는 DAST(동적 애플리케이션 보안 테스트) 보고서로 분류됩니다.