Revise detalhes sobre a varredura de conformidade e vulnerabilidade da Automation Anywhere.

Ciclo de vida do desenvolvimento de software seguro (S-SDLC)

A Automation Anywhere implementou um plano e protocolo de segurança de desenvolvimento que definem uma extensão específica de testes/avaliações a serem realizados pela equipe de Engenharia em cada lançamento, em conformidade com as melhores práticas definidas pela NIST SA-11 Teste e Avaliação de Segurança do Desenvolvedor e NIST SA-15, Processo, Padrões e Ferramentas de Desenvolvimento. Esse plano foi documentado e compartilhado com as equipes de engenharia de automação da Automation Anywhere.

Varredura de vulnerabilidades estáticas

Durante o processo de desenvolvimento e antes de cada lançamento, todo software da Automation Anywhere é submetido a verificações de falhas por meio da ferramenta Veracode. A empresa Automation Anywhere atende aos requisitos da mais rigorosa política de segurança disponível na ferramenta, o Veracode Level 5, que é definido como nenhuma vulnerabilidade de gravidade “Muito alta”, “Alta” ou “Média”. Relatórios de análise estão disponíveis com cada versão.

Análise de dependência

A Automation Anywhere usa o Black Duck para verificar e relatar componentes vulneráveis de Software de código aberto (OSS), bibliotecas e dependências, em nossos produtos como parte de um processo de SDLC seguro. Como parte do nosso processo de lançamento, o Black Duck verificará o código em busca de vulnerabilidades conhecidas. Todos os componentes identificados e desatualizados serão atualizados com as versões mais recentes à medida que forem disponibilizadas.

Quaisquer vulnerabilidades qualificadas como Críticas ou Altas são mitigadas antes que a versão entre em produção. As vulnerabilidades qualificadas como Médias são triadas e analisadas quanto à aplicabilidade. Caso seja considerado aplicável, as vulnerabilidades serão corrigidas nas versões subsequentes. Por fim, as vulnerabilidades qualificadas como Baixas são corrigidas caso a caso.

Nossas melhores práticas de TI, em conformidade com as diretrizes de segurança, funcionam como uma camada adicional de controles compensatórios (como parte da estratégia de defesa detalhada) e, geralmente, mitigam as vulnerabilidades de segurança qualificadas como Baixas.

Teste de penetração

  • Automation Anywhere obtém um teste de penetração (PEN) realizado por um fornecedor externo terceirizado para detectar vulnerabilidades de segurança no produto pelo menos uma vez por ano. O teste de penetração pode ser realizado mais de uma vez por ano e a frequência depende do escopo e das alterações no design do produto.

    Automation Anywhere publica o relatório de teste e o resumo do status da observação no portal de conformidade da Automation Anywhere. Consulte Compliance Portal.

  • Automation Anywhere faz testes de penetração internos do produto para cada versão por especialistas internos em penetração de segurança para manter um controle do risco de segurança no produto.
Nota: O Portal de Conformidade inclui relatórios do teste de segurança de aplicativos estáticos (SAST) da Veracode, Software de código aberto (OSS) e Blackduck, enquanto os relatórios de teste de penetração de fornecedores são classificados como relatórios de Teste de segurança de aplicativos dinâmicos (DAST).