Automation Anywhere

Automation Anywhere

關閉內容

內容

開啟內容

合規性和漏洞掃描

  • 已更新:5/10/2019
    • 11.3.x
    • 探索
    • Enterprise

合規性和漏洞掃描

安全軟體開發生命週期 (S-SDLC)

Automation Anywhere 已實作開發安全性計劃和協定,該計劃和協定定義了工程團隊在每個版本中所要執行的特定測試/評估深度,以符合 NIST SA-11 開發人員安全性測試和評估以及 NIST SA-15 開發流程、標準和工具所定義的最佳實務。此計劃已有記錄,並與 Automation Anywhere 的工程團隊分享。

靜態和動態程式碼分析:Veracode 漏洞掃描

在開發過程的每週組建中以及在每個版本發行前,所有 Automation Anywhere 軟體都會使用 Veracode 工具加以掃描以找出漏洞。Automation Anywhere Enterprise 符合該工具提供的最嚴格安全性原則要求,也就是 Veracode Level 5,這一層安全性被定義為沒有「非常高」、「高」或「中」嚴重性等級的漏洞。每個版本都有提供分析報告。

相依性分析

在開發過程的每週組建中以及在每個版本發行前,Automation Anywhere 軟體中的所有第三方程式庫和相依項目都會使用 Black Duck 工具加以掃描來找出是否有已知的漏洞。當有新版本可用時,Automation Anywhere 會升級易受攻擊的程式庫。每個版本都有提供分析報告。

網路漏洞分析:Nessus 漏洞掃描

AAE 平台在每個版本發行前都會進行自動化 Nessus 漏洞掃描,以識別攻擊者可用來滲透 AAE 的漏洞、違反原則的組態設定及惡意軟體。結果會立即回饋給開發計劃,並在發行之前更正所有漏洞。而且會提供報告。

根據相關政策,Automation Anywhere 致力於在識別任何支援產品的新漏洞後的 30 天內做出合理努力,以緩解或修復重大漏洞及高風險的漏洞。這些政策符合 NIST RA-5 的要求。

滲透測試

Automation Anywhere 在發行每個主要版本之前,都會透過第三方廠商執行滲透測試。此外,我們也會納入我們的客戶進行滲透測試後所提供的意見回饋,其中包括全球最大的一些金融機構。每個版本都有提供分析報告。

傳送意見反饋