Política de ciclo de vida de desenvolvimento de software seguro (SSDLC) da Automation Anywhere

A Automation Anywhere implementou uma estrutura de ciclo de vida de desenvolvimento de software seguro (SSDLC) para desenvolver e fornecer o Automation 360 e todo o seu conjunto de IA combinado com produtos e soluções de software de automação para seus clientes.

Escopo

Este documento define e lista as respectivas verificações de projeto, ferramentas e processos que foram integrados à metodologia do ciclo de vida de desenvolvimento de software. Isso ajuda na identificação e na resolução oportuna de vários tipos de ameaças e vulnerabilidades de segurança em uma base contínua.

O conjunto de aplicativos do Automation 360, módulos de produtos, componentes de software de código aberto de terceiros, bibliotecas e pacotes que são desenvolvidos, lançados, entregues, gerenciados, suportados ou de propriedade da Automation Anywhere estão dentro do escopo da política.

Política

As seguintes três fases fazem parte da política de SDLC Seguro (Ciclo de vida de desenvolvimento de software seguro):

1. Fase de requisitos e design de segurança

Durante a fase inicial de coleta de requisitos e design de protótipos, um modelo de ameaças à segurança e uma revisão arquitetônica são realizados com base nos casos de uso e fluxos de dados, de modo que vários riscos de segurança, privacidade e conformidade sejam identificados no início do processo para mitigação oportuna antes do lançamento.

2. Fase de desenvolvimento seguro

Durante a fase de desenvolvimento, dois tipos de verificações de vulnerabilidade são realizados de maneira contínua.

  • Teste estático de segurança de aplicativos (SAST) para análise do código desenvolvido pela Automation Anywhere

    A Automation Anywhere utiliza o Veracode® Static Analysis (SAST) para analisar continuamente as vulnerabilidades de software em nosso produto como parte do processo SSDLC. Todas as vulnerabilidades graves, altas e médias devem ser resolvidas ou atenuadas e o status de verificação Veracode Nível 5 deve ser alcançado antes de cada lançamento de produto. As vulnerabilidades baixas são avaliadas e analisadas quanto à aplicabilidade e, se forem consideradas aplicáveis, são corrigidas nas versões subsequentes, caso a caso. Este relatório estará disponível sob um título semelhante, como Relatórios Veracode na página Apeople e no portal de conformidade para cada lançamento de produto No local e na Nuvem.

  • Análise de dependência e varredura de software de código aberto

    Para avaliação de vulnerabilidade em componentes de software de código aberto usados no produto, usamos o scanner de vulnerabilidade Black Duck®. Esse relatório estará disponível em um título semelhante, como Relatórios OSS no portal de conformidade. Corrigimos as vulnerabilidades marcadas como altas e críticas antes do lançamento do produto, e as vulnerabilidades de gravidade média são corrigidas nas versões subsequentes. As vulnerabilidades baixas são avaliadas e analisadas quanto à aplicabilidade e, se forem consideradas aplicáveis, são corrigidas na versão subsequente, caso a caso. Este relatório de vulnerabilidade está disponível no portal de conformidade para cada lançamento de produto No local e na Nuvem.

Além disso, para versões baseadas em Nuvem hospedadas em instâncias de Software como Serviço (SaaS) da Automation Anywhere, todos os contêineres de produtos são examinados continuamente para identificar, monitorar e resolver todas as vulnerabilidades de gravidade crítica e alta.

3. Fase de testes de segurança

Durante cada lançamento, é realizada uma varredura de teste dinâmico de segurança de aplicativos (DAST), seguida de vários outros testes de penetração, com base nas listas de verificação da estrutura do Open Worldwide Application Security Project (OWASP), para identificar, avaliar e resolver regularmente as vulnerabilidades nas versões mais recentes. Conforme a política de liberação, todas as constatações de gravidade crítica e alta devem ser atenuadas ou resolvidas antes da liberação, enquanto as constatações de gravidade média e baixa são resolvidas em uma liberação subsequente pelo SLA (acordo de nível de serviço). A Automation Anywhere realiza a varredura DAST internamente como parte do processo de verificação e validação do produto.

As etapas a seguir ajudam a Automation Anywhere a realizar uma avaliação de segurança completa e sistemática do aplicativo para identificar vulnerabilidades, avaliar seu impacto potencial e oferecer uma resposta estruturada para correção.
  1. A Automation Anywhere contrata um consultor de segurança de aplicativos de terceiros para realizar um exercício independente de teste de penetração na versão mais recente lançada e implementada dos aplicativos. Este teste é realizado uma vez por ano.
  2. Após a conclusão do teste de penetração, as descobertas identificadas são avaliadas e validadas pela Automation Anywhere.
  3. A gravidade real dos riscos é determinada pela Automation Anywhere usando uma série de condições de triagem. Essas condições são baseadas em classificações e estruturas padrão do setor, como o Common Vulnerability Scoring System (CVSS), e levam em conta a probabilidade de exploração.
  4. Depois que as classificações de gravidade são estabelecidas, o relatório original do teste de penetração é publicado no portal de conformidade. Junto com o relatório, a Automation Anywhere oferece uma explicação das descobertas e cronogramas para tratar dos problemas identificados, caso a caso, na forma de um relatório.