阅读和查看 Automation Anywhere 文档

Automation Anywhere

关闭内容

内容

打开内容

合规性和漏洞扫描

  • 已更新:5/10/2019
    • 11.3.x
    • 探索
    • Enterprise

合规性和漏洞扫描

安全软件开发生命周期 (S-SDLC)

Automation Anywhere 已实施了一项“开发安全计划和协议”,其中规定了工程团队在每次发布时执行的测试/评估的具体深度,以符合 NIST SA-11“开发人员安全测试和评估”以及 NIST SA-15“开发流程、标准和工具”中规定的最佳实践。此计划已记录在案,并与 Automation Anywhere 的工程团队共享。

静态和动态代码分析:Veracode 漏洞扫描

在开发过程中和每次发布之前的每周版本中,所有 Automation Anywhere 软件都会使用 Veracode 工具扫描以查找缺陷。Automation Anywhere Enterprise 满足该工具中提供的最严格安全策略(Veracode 级别 5)的要求,该级别规定不得含有“非常高”、“高”或“中等”严重性漏洞。每次发布时都会提供分析报告。

依赖项分析

在开发过程中和每次发布之前的每周版本中,Automation Anywhere 软件中的所有第三方库和依赖项都会使用 Black Duck 工具扫描以查找已知的漏洞。Automation Anywhere 将在新版本推出时升级易受攻击的库。每次发布时都会提供分析报告。

网络漏洞分析:Nessus 漏洞扫描

AAE 平台在每次发布之前都会执行自动 Nessus 漏洞扫描,以识别攻击者可能用来渗透 AAE 的漏洞、违反策略配置和恶意软件。扫描结果会立即反映到开发计划,并且所有漏洞都会在发布之前得到修正。提供报告。

Automation Anywhere 通过策略承诺,在识别任何支持产品上的新漏洞后的 30 天内做出合理努力,以减轻或修复严重和高级别漏洞。这些策略符合 NIST RA-5 要求。

渗透测试

在每次进行主要发布之前,Automation Anywhere 都会通过第三方供应商执行渗透测试。此外,我们还将纳入从客户执行的渗透测试中获得的反馈,这些客户包括一些全球最大金融机构。每次发布时都会提供分析报告。

发送反馈