合规性和漏洞扫描

安全软件开发生命周期 (S-SDLC)

Automation Anywhere 已实施了一项开发安全计划和协议，其中规定了工程团队在每次发布时执行的测试和评估的具体深度，以符合 NIST SA-11“开发人员安全测试和评估”以及 NIST SA-15“开发流程、标准和工具”中规定的最佳实践。此计划已记录在案，并与 Automation Anywhere 工程团队共享。

用于静态和动态代码分析的 Veracode 漏洞扫描

在开发过程中和每次发布之前的每周版本中，所有 Automation Anywhere 软件都会使用 Veracode 工具扫描以查找缺陷。Automation AnywhereEnterprise 满足该工具中提供的最严格安全策略（Veracode 级别 5）的要求，该级别规定不得含有“非常高”、“高”或“中等”严重性漏洞。每次发布时都会提供分析报告。

依赖项分析

在开发过程中和每次发布之前的每周版本中，Automation Anywhere 软件中的所有第三方库和依赖项都会使用 Black Duck 工具扫描以查找已知的漏洞。Automation Anywhere 将在新版本推出时升级易受攻击的库。每次发布时都会提供分析报告。

所有严重/高级别漏洞均针对每个版本修复。在未来版本中，将根据Automation Anywhere发行的范围考虑对中等漏洞进行修复。应用程序使用的 OSS 列表将针对每个版本发布。

渗透测试

在每次进行主要发布之前，Automation Anywhere 都会通过第三方供应商执行渗透测试。此外，Automation Anywhere 还将纳入从客户执行的渗透测试中获得的反馈，这些客户包括一些全球最大融机构。每次发布时都会提供分析报告。