Automation Anywhere 보안 소프트웨어 개발 수명 주기(SSDLC) 정책

Automation Anywhere는 고객을 위한 자동화 소프트웨어 제품 및 솔루션이 결합된 Automation 360 및 전체 AI를 개발하고 제공하기 위해 보안 소프트웨어 개발 생명 주기(SSDLC) 프레임워크를 구현했습니다.

범위

이 문서는 소프트웨어 개발 생명 주기 방법론에 통합된 각각의 설계 검사, 도구 및 프로세스를 정의하고 나열합니다. 이는 다양한 유형의 보안 위협과 취약점을 지속적으로 신속하게 식별하고 해결하는 데 도움이 됩니다.

Automation Anywhere가 개발, 출시, 제공, 관리, 지원 또는 소유한 Automation 360 애플리케이션 제품군, 제품 모듈, 제3자 오픈 소스 소프트웨어 구성 요소, 라이브러리 및 패키지는 정책의 범위 내에 있습니다.

정책

다음 세 가지 단계는 보안 SDLC(소프트웨어 개발 생명 주기) 정책의 일부입니다.

1. 요구 사항 및 보안 설계 단계

초기 요구 사항 수집 및 프로토타입 설계 단계에서는 유스케이스와 데이터 흐름을 기반으로 보안 위협 모델 및 아키텍처 검토가 수행되어, 다양한 보안, 개인정보 보호 및 규정 준수 위험이 출시 전에 적시에 완화될 수 있도록 프로세스 초기에 식별됩니다.

2. 보안 개발 단계

개발 단계에서는 두 가지 유형의 취약점 검사가 지속적으로 수행됩니다.

  • 정적 애플리케이션 보안 테스트(SAST)를 통한 Automation Anywhere 개발 코드 분석

    Automation Anywhere는 SSDLC 프로세스의 일환으로 Veracode® 정적 분석(SAST) 코드 스캐너를 활용하여 우리 제품의 소프트웨어 취약점을 지속적으로 평가합니다. 심각도가 치명, 높음, 중간 수준인 모든 취약점은 해결되거나 완화되어야 하며, 모든 제품 출시 전에 Veracode 레벨 5의 Veracode 검증 상태를 달성해야 합니다. 심각도가 낮음인 취약점은 적용 가능성을 평가하고 분석하며, 적용 가능한 것으로 판단되면, 후속 릴리스에서 케이스별로 수정됩니다. 이 보고서는 Apeople 페이지와 규정 준수 포털에서 Veracode Reports와 유사한 제목으로 모든 온프레미스클라우드 제품 릴리스에 대해 제공될 것입니다.

  • 오픈 소스 소프트웨어 스캔 및 종속성 분석

    제품에 사용된 오픈 소스 소프트웨어 구성 요소의 취약점 평가를 위해 당사는 Black Duck® 취약점 스캐너를 사용합니다. 이 보고서는 준수 포털OSS 보고서와 유사한 제목으로 제공될 것입니다. 당사는 제품 출시 전에 높은 심각도와 치명적인 취약점을 수정하고, 중간 심각도의 취약점은 이후 출시에서 수정합니다. 심각도가 낮음인 취약점은 적용 가능성을 평가하고 분석하며, 적용 가능한 것으로 판단되면, 후속 릴리스에서 케이스별로 수정됩니다. 이 취약성 보고서는 모든 온프레미스클라우드 제품 릴리스에 대해 규정 준수 포털에서 확인할 수 있습니다.

또한, Automation Anywhere 소프트웨어 서비스(SaaS) 인스턴스에서 호스팅되는 클라우드 기반 릴리스의 경우, 모든 제품 컨테이너는 모든 중요 및 높은 심각도의 취약점을 식별, 추적 및 해결하기 위해 지속적으로 스캔됩니다.

3. 보안 테스트 단계

모든 릴리스 중에, 최신 릴리스 빌드의 취약점을 정기적으로 식별, 평가 및 해결하기 위해 동적 애플리케이션 보안 테스트(DAST) 스캔이 수행되며, 그 후 다양한 기타 침투 테스트가 오픈 전세계 애플리케이션 보안 프로젝트(OWASP) 프레임워크 체크리스트를 기반으로 진행됩니다. 릴리스 정책에 따라 심각도가 치명적이고 높은 문제는 릴리스 전에 완화되거나 해결되어야 하며, 중간 및 낮은 심각도의 문제는 SLA(서비스 수준 계약)에 따라 이후 릴리스에서 해결됩니다. Automation Anywhere는 제품 검증 및 확인 프로세스의 일환으로 내부적으로 DAST 스캔을 수행합니다.

다음 단계는 Automation Anywhere가 애플리케이션의 철저하고 체계적인 보안 평가를 수행하여 취약점을 식별하고, 잠재적인 영향을 평가하며, 수정에 대한 체계적인 대응을 제공하는 데 도움이 됩니다.
  1. Automation Anywhere는 최신 출시 및 배포된 애플리케이션 버전에 대해 독립적인 침투 테스트를 수행하기 위해 제3자 애플리케이션 보안 컨설턴트를 고용합니다. 이 검사는 1년에 한 번 수행됩니다.
  2. 침투 테스트가 완료된 후, 식별된 발견 사항들은 Automation Anywhere에 의해 평가되고 검증됩니다.
  3. 위험의 실제 심각도는 Automation Anywhere에서 일련의 분류 조건을 사용하여 결정됩니다. 이 조건들은 Common Vulnerability Scoring System(CVSS)과 같은 산업 표준 순위 및 프레임워크를 기반으로 하며, 악용 가능성을 고려합니다.
  4. 심각도 등급이 설정된 후, 원래의 침투 테스트 보고서는 규정 준수 포털에 게시됩니다. 보고서와 함께, Automation Anywhere는 발견된 문제를 해결하기 위한 설명과 일정을 보고서 형태로 케이스별로 제공합니다.