Automation Anywhere 安全软件开发生命周期 (SSDLC) 政策
- Updated: 2025/06/30
Automation Anywhere 安全软件开发生命周期 (SSDLC) 政策
Automation Anywhere 已实施安全软件开发生命周期 (SSDLC) 框架,用于开发和交付 Automation 360 及其整个 AI 与自动化软件产品和解决方案套件给其客户。
范围
本文档定义并列出了已集成到软件开发生命周期方法中的各项设计检查、工具和流程。 这有助于及时识别和解决各种类型的安全威胁和漏洞,并持续进行。
Automation 360 应用套件、产品模块、第三方开源软件组件、库和包,无论是由 Automation Anywhere 开发、发布、交付、管理、支持还是拥有,均在该政策的范围内。
政策
以下三个阶段是安全 SDLC(软件开发生命周期)政策的一部分:
1. 需求和安全设计阶段
在初始需求收集和原型设计阶段,会根据场景和数据流进行安全威胁模型和架构审查,以便在流程早期识别各种安全、隐私和合规风险,从而在发布前及时缓解。
2. 安全开发阶段
在开发阶段,会持续进行两种类型的漏洞检查。
-
静态应用安全测试 (SAST) 用于分析 Automation Anywhere 已开发的代码
Automation Anywhere 利用Veracode® 静态分析 (SAST) 代码扫描器,作为 SSDLC 过程的一部分,持续评估我们产品中的软件漏洞。 在每次产品发布之前,所有关键、高级和中级漏洞必须得到解决或缓解,并且必须达到 Veracode 5 级的 Veracode 验证状态。 低漏洞会被评估和分析其适用性,如果确定适用,将在后续版本中视具体情况进行修复。 此报告将使用类似标题提供,例如在 Apeople 页面和 合规门户中的 Veracode 报告,适用于每个 On-Premises 和 Cloud 产品发布。
-
开源软件扫描和依赖项分析
对于产品中使用的开源软件组件的漏洞评估,我们使用 Black Duck® 漏洞扫描器。 该报告将在类似的标题下提供,例如在 合规门户中的 OSS 报告。 在产品发布之前,我们会修复标记为高严重性和关键的漏洞,而中等严重性的漏洞将在后续版本中修复。 低严重性的漏洞会被评估和分析其适用性,如果确定适用,将在后续版本中视具体情况进行修复。 此漏洞报告可在每次 On-Premises 和 Cloud 产品发布时通过 合规门户获取。
此外,对于托管在 Automation Anywhere 软件即服务 (SaaS) 实例上的基于 Cloud 的版本,所有产品容器都会被持续扫描,以识别、跟踪和解决所有关键和高严重性漏洞。
3. 安全测试阶段
在每次发布期间,会进行动态应用程序安全测试 (DAST) 扫描,随后根据开放全球应用程序安全项目 (OWASP) 框架检查清单进行各种其他渗透测试,以定期识别、评估和解决最新发布版本中的漏洞。 根据发布政策,所有关键和高严重性的问题必须在发布之前得到缓解或解决,而中等和低严重性的问题将在后续发布中根据服务级别协议 (SLA) 进行解决。 Automation Anywhere 在产品验证和确认过程中内部进行 DAST 扫描。
- Automation Anywhere 聘请第三方应用程序安全顾问对最新发布和部署的应用程序版本进行独立的渗透测试。 这种测试每年进行一次。
- 在渗透测试完成后,识别出的问题由 Automation Anywhere 评估和验证。
- 风险的实际严重性由 Automation Anywhere 使用一系列分类条件来确定。 这些条件基于行业标准排名和框架,例如通用漏洞评分系统 (CVSS),并考虑了利用的可能性。
- 在确定严重性评级后,原始渗透测试报告会发布在 合规门户中。 报告中,Automation Anywhere 提供了对发现问题的解释以及解决这些问题的时间表,并以报告的形式逐个进行说明。