Verificação de vulnerabilidades e conformidade
- Última atualização2021/10/09
Verificação de vulnerabilidades e conformidade
Revise detalhes sobre a varredura de conformidade e vulnerabilidade da Automation Anywhere.
Ciclo de vida do desenvolvimento de software seguro (S-SDLC)
A Automation Anywhere implementou um plano e protocolo de segurança de desenvolvimento que definem uma extensão específica de testes/avaliações a serem realizados pela equipe de Engenharia em cada lançamento, em conformidade com as melhores práticas definidas pela NIST SA-11 Teste e Avaliação de Segurança do Desenvolvedor e NIST SA-15, Processo, Padrões e Ferramentas de Desenvolvimento. Esse plano foi documentado e compartilhado com as equipes de engenharia de automação da Automation Anywhere.
Verificação de vulnerabilidade Veracode para análise de códigos estática e dinâmica
Em cada build semanal, durante o processo de desenvolvimento e antes de cada lançamento, todo o software da Automation Anywhere é submetido a verificações de falhas por meio da ferramenta Veracode. A empresa Automation Anywhere atende aos requisitos da mais rigorosa política de segurança disponível na ferramenta, o Veracode Level 5, que é definido como nenhuma vulnerabilidade de gravidade “Muito alta”, “Alta” ou “Média”. Relatórios de análise estão disponíveis com cada versão.
Análise de dependência
Em cada build semanal, durante o processo de desenvolvimento e antes de cada lançamento, todas as bibliotecas e dependências de terceiros no software da Automation Anywhere são submetidas a verificações de vulnerabilidades conhecidas por meio da ferramenta Black Duck. A atualiza as bibliotecas vulneráveis quando novas versões se tornam disponíveis. A Automation Anywhere atualiza as bibliotecas vulneráveis quando novas versões se tornam disponíveis. Relatórios de análise estão disponíveis com cada versão.
Todas as vulnerabilidades Críticas/Altas são corrigidas para cada lançamento. Vulnerabilidades médias serão consideradas para correções em lançamentos futuros, dependendo do escopo as liberações da Automation Anywhere. A lista de OSS utilizada pelo aplicativo é publicada para cada lançamento.
Teste de penetração
A Automation Anywhere realiza um teste de penetração por meio de um fornecedor externo antes de cada importante lançamento. Além disso, a Automation Anywhere incorpora o feedback recebido dos testes de penetração realizados por clientes, que incluem algumas das maiores instituições financeiras do mundo. Relatórios de análise estão disponíveis com cada versão.