Automation Anywhere,安全是我们的首要任务,我们非常重视维护客户对我们的信任和信心。 作为 Automation Anywhere 客户,您可以在事先获得批准的情况下,对您自己注册的 Automation Anywhere 租户进行外部安全扫描、评估或渗透测试。 计划测试必须事先获得批准,并在与 Automation Anywhere 商定的日期和时间进行。

此页面定义了我们的客户进行此类商定的、一次性(每次批准允许一个测试时段)漏洞测试和渗透测试活动的范围、申请批准流程和报告流程指南。 如果您在此类测试中发现我们的系统、应用程序或网络基础设施中的漏洞,Automation Anywhere 感谢您以负责任的方式向我们披露。

范围

您作为我们现有的客户,测试范围仅限于在分配给您的 Automation 360 实际正式 Cloud 租户 URL 上发现的安全漏洞和弱点。 此 URL 或域名示例将采用以下格式:https://sample_organization.automationanywhere.digital。

审批流程请求

大多数客户依赖于每年由不同供应商进行的 Automation Anywhere 持续第三方渗透测试。 这些测试的报告根据保密协议提供,并附有任何必要的补救计划。

如果您需要进行自己的渗透测试,则 Automation Anywhere 要求至少提前 2 周通知。 联系 Automation Anywhere 支持: 打开一个支持工单(需要登录 A-People),以提交和通知此请求。 在请求通知中,提供以下信息:
  • 计划测试的具体 URL
  • 地区(如有限制)
  • 测试期间、测试开始和结束的日期
  • 进行测试的设备的 IP 地址
  • 方法: 黑盒、白盒或灰盒
  • 自动扫描: 是或否
  • DOS 类型攻击: 是或否
  • 暴力破解或字典类型攻击: 是或否
  • 其他相关信息

指南

在进行测试时,请注意以下指南:

  • 请尽快报告任何潜在的安全问题。Automation Anywhere 将尽一切努力快速响应并解决问题。
  • 提供重现漏洞的足够细节,包括概念验证
  • Automation Anywhere 提供正式回应之前,不要向公众或第三方披露问题
  • 真诚努力避免侵犯隐私、破坏数据、中断或降低我们的服务质量。 只与自己拥有的或获得账户持有人明确许可的应用程序和租户进行交互
  • 编辑任何可能识别或提供有关应用程序、我们客户或其漏洞(如有)的细节的语言或图像
  • 请勿进行破坏性测试(例如拒绝服务 DoS)或任何可能影响 Automation Anywhere 信息和系统的机密性、完整性或可用性的操作
  • 请勿对客户或员工进行社交工程或网络钓鱼攻击
  • 不要就发现的漏洞要求时间和材料补偿

禁止的活动

请勿执行以下活动:

  • 超出批准测试范围的域或子域
  • 执行或试图执行任何拒绝服务 (DoS) 攻击
  • 需要物理访问用户计算机或设备的漏洞
  • 测试与 Automation Anywhere 系统集成或链接的 Automation Anywhere 合作伙伴网站、第三方应用程序、网站或服务中的漏洞
  • 针对 Automation Anywhere办 公室或数据中心的物理攻击
  • 访问、下载或修改不属于您的账户中的数据
  • 发布、传输、上传、链接、发送或存储任何恶意软件
  • 以可能导致发送未经请求或未经授权的垃圾电子邮件、垃圾邮件、金字塔骗局或其他形式的未经请求的信息的方式进行测试
  • 以可能导致任何 Automation Anywhere 系统运行性能下降的方式进行测试

报告

测试期结束后,通过 Automation Anywhere 支持提交安全漏洞发现: 打开一个支持工单(需要登录 A-People)。 报告漏洞时,请提供攻击场景、具体详细的测试工单、可利用性(如有)以及漏洞的安全影响。Automation Anywhere 承诺:

  • 与您合作以理解和验证问题
  • 解决风险(如果 Automation Anywhere 认为合适)