- Versionshinweise
- Überblick
- Erste Schritte
- UiPath-Marktplatzanbieter
- Marketplace-Kunden
- Veröffentlichungsrichtlinien
- Veröffentlichungsrichtlinien für sofort einsatzbereite Automatisierungen
- Veröffentlichungsrichtlinien für Lösungsbeschleuniger
- Veröffentlichungsrichtlinien für Integration Service-Connectors
- Veröffentlichungsrichtlinien für Process Mining-App-Vorlagen
- Sicherheit und IP-Schutz
- Andere UiPath-Auflistungen
- Node-RED
- Einrichten
- Teams
- Microsoft Teams-Scope
- Erstellen Sie ein Team
- Erstellt ein Team aus der Gruppe
- Get Team
- Teams abrufen
- Kanäle
- Create Channel
- Kanal löschen
- Kanal abrufen
- Rufen Sie Kanäle ab
- Updatekanal
- Chats
- Get Chat
- Rufen Sie Chats ab
- Chatmitglieder abrufen
- Messages
- Get message
- Get Messages
- Rufen Sie Nachrichtenantworten ab
- Auf Nachricht antworten
- Send Message
- Events
- Termin erstellen
- Ereignis löschen
- Get Event
- Ereignisse abrufen
- Benutzer
- Rufen Sie die Benutzeranwesenheit ab
- Wie es funktioniert
- Technische Referenzen
- Erste Schritte
- Einrichten
- Technische Referenzen
- Schnellstarts
- Amazon-Scope
- Aktivitäten
- Analysieren Sie einseitiges Dokument
- Analysieren Sie ein mehrseitiges Dokument
- Dokumentanalyse starten
- Rufen Sie den Status der Dokumentanalyse ab
- Rufen Sie die Dokumentanalyse ab
- Das Objekt „Seitendetails“.
- Wie es funktioniert
- Technische Referenzen
- Erste Schritte
- Über
- Einrichten
- Technische Referenzen
- Azure Formularerkennungs-Scope
- Aktivitäten
- Formular analysieren
- Formular asynchron analysieren
- Formularergebnis der Analyse abrufen
- Beleg analysieren
- Beleg asynchron analysieren
- Rufen Sie das Analyseergebnis des Belegs ab
- Analysieren Sie das Layout
- Analysieren Sie das Layout asynchron
- Rufen Sie das Ergebnis der Analyselayouts ab
- Modell trainieren
- Modelle abrufen
- Modellschlüssel abrufen
- Modellinformationen abrufen
- Modell löschen
- Konnektoren
- So erstellen Sie Aktivitäten
- Ihre Integration entwickeln
Marketplace-Benutzerhandbuch
Gold-Zertifikat
Dazu gehören alle Inhalts-, Sicherheits- und Funktionsanforderungen ab der Stufe Silver-Zertifizierung. Darüber hinaus muss die Auflistung jede der unten aufgeführten Anforderungen erfüllen. Falls bei einem der Schritte Probleme auftreten, muss der Marketplace-Partner diese beheben und mögliche Diskrepanzen erklären.
Sobald alle Anforderungen erfüllt sind, erhält die Auflistung das Gold-Zertifizierungsabzeichen, das auf der Seite der Auflistung sichtbar ist.
Der Zeitaufwand für den Erhalt dieser Zertifizierungsstufe beträgt bis zu zwei zusätzliche Wochen.
Malware-Analyse
Wir überprüfen die Einreichung mit einer Reihe von mehreren Antiviren-Engines und stellen sicher, dass die Auflistungsartefakte bewertet und durch eine tiefgehende Dateianalyse entpackt werden. Diese ist in File-Reputation-Dienste integriert, um detaillierte Kontext- und Bedrohungsklassifizierungen für über 8 Milliarden Dateien, einschließlich aller Dateitypen, bereitzustellen.
Dieser Schritt bietet Schutz vor potenzieller Malware und Viren.
Sicherheitslücken in Abhängigkeiten von Drittanbietern
Unabhängig vom Typ der Auflistung enthält die Auflistung in der Regel Abhängigkeiten, die sicherheitsbezogene Sicherheitslücken aufweisen können.
Diese Phase hilft, mögliche Sicherheitsprobleme zu identifizieren und zu lösen, die häufig bei der Verwendung von Abhängigkeiten von Drittanbietern auftreten.
Einige der möglichen Probleme, die in dieser Phase gelöst werden können, sind:
- Sicherheitslücken und andere ähnliche Sicherheitsprobleme in einer oder mehreren der angehängten Abhängigkeiten.
- Die Inkompatibilität zwischen dem in einigen Abhängigkeiten verwendeten Lizenztyp und der von Ihnen für die Auflistung ausgewählten Lizenz;
Da die Sicherheit der Auflistung von der Sicherheit jeder verwendeten Abhängigkeit abhängt, wird die Zertifizierung bei Problemen mit einem der oben genannten Elemente erst erteilt, wenn diese behoben wurden.
Statische Codeanalyse
Um Sicherheitslücken oder schädlichen Quellcode zu erkennen, führen wir auch eine umfassende Reihe statischer Codeprüfungen für den Code durch und erstellen Artefakte hinter der Übermittlung.
In diesem Stadium können eine Reihe von Problemen erkannt werden. Wie im vorherigen Schritt erwähnt, betrachten wir hier sowohl Fehler, die im Quellcode vorhanden sein könnten, als auch mögliche Sicherheitslücken.
Sie müssen die erkannten Sicherheitslücken beheben, damit mögliche Logikfehler, falsches Datenmanagement, falsche Konfigurationen und anderes Verhalten nicht von einem böswilligen Akteur ausgenutzt werden.
Durch diesen Schritt stellen wir sicher, dass die Auflistungen vor den folgenden Bedrohungen und Standards geschützt sind, aber nicht darauf beschränkt sind:
- CWE Top 25;
- OWASP Top 10;
- Andere ähnliche Branchenstandards und Bedrohungsmodelle.
Während dieses Schritts werden ggf. Sicherheitsüberprüfungen für Folgendes durchgeführt:
| Element | Element | Element |
|---|---|---|
| API-Missbrauch Authentifizierungsprobleme Autorisierungsprobleme Fehler bei der Pufferverwaltung Code-Injektion Codequalität Befehls- oder Argumentinjektion Anmeldeinformationsverwaltung CRLF-Injektion Cross-Site-Scripting (XSS) | Kryptografieprobleme Gefährdete Funktionen Bereitstellung Konfigurationsverzeichnis Traversal-Einkapselungsfehler Bearbeitung von Informationslecks Unsichere Abhängigkeiten Unzureichende Eingabevalidierung Unzureichende Protokollierung und Überwachung | Numerische Fehler Potenzielle Backoffice- Race-Bedingungen Server- Konfiguration Sitzungskorrektur SQL-Injektionszeit und -status Unvertrauenswürdige Initialisierung Nicht vertrauenswürdiger Suchpfad |
This step applies only to Custom Activities. For other types of submissions such as those where UiPath workflows and projects are used, this analysis is part of the functionality testing process at Silver level which all types of listings undergo.
Dynamische Codeanalyse
Auflistungen werden zur Laufzeit auf bösartiges Verhalten überprüft.
Obwohl wir auf den vorherigen Ebenen einen erheblichen Teil der Angriffsvektoren abdecken, gewährleistet die dynamische Scan-Phase einen robusten Ansatz für eine sichere Auflistung.
Einige der analysierten Laufzeitverhalten können beispielsweise sein:
- Speicheranalyse – Überwachung auf verdächtiges Verhalten;
- Datenverkehrsanalyse – Überwachung von Verbindungen und Netzwerkverkehr;
- API-Aufrufe – Überwachung auf potenziell gefährliche Betriebssystemaufrufe oder den Zugriff auf bestimmte APIs.
Daher stellen wir durch Hinzufügen des dynamischen Scanschritts und seine Kopplung mit den vorherigen statischen Scans sicher, dass die zertifizierten Auflistungen die neueste Sicherheitsüberprüfung der Enterprise-Klasse durchlaufen haben.
Penetrationstests (nur für benutzerdefinierte Aktivitäten)
Unser internes Team von Penetrationstestern führt einen detaillierten Pen-Test durch und überprüft manuell den Quellcode, das Paket und andere Auflistungsartefakte.
Indem UiPath Pentester die Ergebnisse aller vorherigen Phasen mit dem Penetrationstestprozess kombinieren, gewährleisten wir den höchsten Schutz vor verschiedenen Angriffsvektoren.