marketplace
latest
false
Wichtig :
Dieser Inhalt wurde maschinell übersetzt.
UiPath logo, featuring letters U and I in white

UiPath Marketplace-Benutzerhandbuch

Letzte Aktualisierung 5. Sep. 2024

Gold-Zertifikat

Dazu gehören alle Inhalts-, Sicherheits- und Funktionsanforderungen ab der Stufe Silver-Zertifizierung. Darüber hinaus muss die Auflistung jede der unten aufgeführten Anforderungen erfüllen. Falls bei einem der Schritte Probleme auftreten, muss der Marketplace-Partner diese beheben und mögliche Diskrepanzen erklären.

Sobald alle Anforderungen erfüllt sind, erhält die Auflistung das Gold-Zertifizierungsabzeichen, das auf der Seite der Auflistung sichtbar ist.

Der Zeitaufwand für den Erhalt dieser Zertifizierungsstufe beträgt bis zu zwei zusätzliche Wochen.

Malware-Analyse

Wir überprüfen die Einreichung mit einer Reihe von mehreren Antiviren-Engines und stellen sicher, dass die Auflistungsartefakte bewertet und durch eine tiefgehende Dateianalyse entpackt werden. Diese ist in File-Reputation-Dienste integriert, um detaillierte Kontext- und Bedrohungsklassifizierungen für über 8 Milliarden Dateien, einschließlich aller Dateitypen, bereitzustellen.

Dieser Schritt bietet Schutz vor potenzieller Malware und Viren.

Sicherheitslücken in Abhängigkeiten von Drittanbietern

Unabhängig vom Typ der Auflistung enthält die Auflistung in der Regel Abhängigkeiten, die sicherheitsbezogene Sicherheitslücken aufweisen können.

Diese Phase hilft, mögliche Sicherheitsprobleme zu identifizieren und zu lösen, die häufig bei der Verwendung von Abhängigkeiten von Drittanbietern auftreten.

Einige der möglichen Probleme, die in dieser Phase gelöst werden können, sind:

  • Sicherheitslücken und andere ähnliche Sicherheitsprobleme in einer oder mehreren der angehängten Abhängigkeiten.
  • Die Inkompatibilität zwischen dem in einigen Abhängigkeiten verwendeten Lizenztyp und der von Ihnen für die Auflistung ausgewählten Lizenz;

Da die Sicherheit der Auflistung von der Sicherheit jeder verwendeten Abhängigkeit abhängt, wird die Zertifizierung bei Problemen mit einem der oben genannten Elemente erst erteilt, wenn diese behoben wurden.

Statische Codeanalyse

Um Sicherheitslücken oder schädlichen Quellcode zu erkennen, führen wir auch eine umfassende Reihe statischer Codeprüfungen für den Code durch und erstellen Artefakte hinter der Übermittlung.

In diesem Stadium können eine Reihe von Problemen erkannt werden. Wie im vorherigen Schritt erwähnt, betrachten wir hier sowohl Fehler, die im Quellcode vorhanden sein könnten, als auch mögliche Sicherheitslücken.

Sie müssen die erkannten Sicherheitslücken beheben, damit mögliche Logikfehler, falsches Datenmanagement, falsche Konfigurationen und anderes Verhalten nicht von einem böswilligen Akteur ausgenutzt werden.

Durch diesen Schritt stellen wir sicher, dass die Auflistungen vor den folgenden Bedrohungen und Standards geschützt sind, aber nicht darauf beschränkt sind:

  • Cwe Top 25;
  • OWASP Top 10;
  • Andere ähnliche Branchenstandards und Bedrohungsmodelle.

Während dieses Schritts werden ggf. Sicherheitsüberprüfungen für Folgendes durchgeführt:

Element

Element

Element

API-Missbrauch

Authentifizierungsprobleme

Autorisierungsprobleme

Fehler bei der Pufferverwaltung

Codeinjektion

Codequalität

Injektion von Befehlen oder Argumenten

Anmeldeinformationsverwaltung

CRLF-Injektion

Cross-Site Scripting (XSS)

Kryptografische Probleme

Gefährliche Funktionen

Konfiguration der Bereitstellung

Directory Traversal

Kapselung

Fehlerabwicklung

Informationslecks

Unsichere Abhängigkeiten

Unzureichende Eingabevalidierung

Unzureichende Protokollierung und Überwachung

Numerische Fehler

Potenzielle Hintertür

Racebedingungen

Serverkonfiguration

Sitzungsfixierung

SQL-Injektion

Zeit und Status

Nicht vertrauenswürdige Initialisierung

Nicht vertrauenswürdiger Suchpfad

Hinweis: Dieser Schritt gilt nur für benutzerdefinierte Aktivitäten. Für andere Arten von Einreichungen, bei denen z. B. UiPath-Workflows und -Projekte verwendet werden, ist diese Analyse Teil des Funktionalitätstestprozesses auf Silver-Ebene, den alle Arten von Auflistungen durchlaufen.

Dynamische Codeanalyse

Auflistungen werden zur Laufzeit auf bösartiges Verhalten überprüft.

Obwohl wir auf den vorherigen Ebenen einen erheblichen Teil der Angriffsvektoren abdecken, gewährleistet die dynamische Scan-Phase einen robusten Ansatz für eine sichere Auflistung.

Einige der analysierten Laufzeitverhalten können beispielsweise sein:

  • Speicheranalyse – Überwachung auf verdächtiges Verhalten;
  • Datenverkehrsanalyse – Überwachung von Verbindungen und Netzwerkverkehr;
  • API-Aufrufe – Überwachung auf potenziell gefährliche Betriebssystemaufrufe oder den Zugriff auf bestimmte APIs.

Daher stellen wir durch Hinzufügen des dynamischen Scanschritts und seine Kopplung mit den vorherigen statischen Scans sicher, dass die zertifizierten Auflistungen die neueste Sicherheitsüberprüfung der Enterprise-Klasse durchlaufen haben.

Penetrationstests (nur für benutzerdefinierte Aktivitäten)

Unser internes Team von Penetrationstestern führt einen detaillierten Pen-Test durch und überprüft manuell den Quellcode, das Paket und andere Auflistungsartefakte.

Indem UiPath Pentester die Ergebnisse aller vorherigen Phasen mit dem Penetrationstestprozess kombinieren, gewährleisten wir den höchsten Schutz vor verschiedenen Angriffsvektoren.

War diese Seite hilfreich?

Hilfe erhalten
RPA lernen – Automatisierungskurse
UiPath Community-Forum
Uipath Logo White
Vertrauen und Sicherheit
© 2005–2024 UiPath. Alle Rechte vorbehalten