合规性和漏洞扫描
查看有关Automation Anywhere合规性和漏洞扫描的详细信息。
安全软件开发生命周期 (S-SDLC)
Automation Anywhere 已实施了一项开发安全计划和协议,其中规定了工程团队在每次发布时执行的测试和评估的具体深度,以符合 NIST SA-11“开发人员安全测试和评估”以及 NIST SA-15“开发流程、标准和工具”中规定的最佳实践。此计划已记录在案,并与 Automation Anywhere 工程团队共享。
用于静态和动态代码分析的 Veracode 漏洞扫描
在开发过程中和每次发布之前的每周版本中,所有 Automation Anywhere 软件都会使用 Veracode 工具扫描以查找缺陷。Automation AnywhereEnterprise 满足该工具中提供的最严格安全策略(Veracode 级别 5)的要求,该级别规定不得含有“非常高”、“高”或“中等”严重性漏洞。每次发布时都会提供分析报告。
依赖项分析
在开发过程中和每次发布之前的每周版本中,Automation Anywhere 软件中的所有第三方库和依赖项都会使用 Black Duck 工具扫描以查找已知的漏洞。Automation Anywhere 将在新版本推出时升级易受攻击的库。每次发布时都会提供分析报告。
所有严重/高级别漏洞均针对每个版本修复。在未来版本中,将根据Automation Anywhere发行的范围考虑对中等漏洞进行修复。应用程序使用的 OSS 列表将针对每个版本发布。
渗透测试
在每次进行主要发布之前,Automation Anywhere 都会通过第三方供应商执行渗透测试。此外,Automation Anywhere 还将纳入从客户执行的渗透测试中获得的反馈,这些客户包括一些全球最大融机构。每次发布时都会提供分析报告。