marketplace
latest
false
Importante :
Este contenido se ha traducido mediante traducción automática.
UiPath logo, featuring letters U and I in white

Guía de usuario de Marketplace

Última actualización 5 de sep. de 2024

Certificado oro

Esto incluye todos los requisitos de contenido, seguridad y funcionalidad del nivel Silver Certified. Además, el listado debe cumplir cada uno de los requisitos que se enumeran a continuación. En caso de que haya problemas con cualquiera de los pasos, el socio de Marketplace deberá solucionarlos y explicar cualquier posible discrepancia.

Una vez que se cumplan todos los requisitos, el listado recibirá la insignia de oro certificado, que será visible en la página del listado.

El tiempo necesario para obtener este nivel de certificación es de hasta dos semanas adicionales.

Análisis de malware

Verificamos el envío con una serie de varios motores antivirus y nos aseguramos de que los artefactos del listado se evalúen y descompriman mediante un análisis profundo de archivos. Esto se integra con los servicios de fama de archivos para proporcionar un contexto enriquecido y clasificación de amenazas en más de 8 000 millones de archivos, incluidos todos los tipos.

Este paso ofrece protección contra posibles virus y malware.

Vulnerabilidades en dependencias de terceros

Independientemente del tipo de listado, el listado normalmente contiene dependencias que pueden tener vulnerabilidades relacionadas con la seguridad.

Esta etapa ayuda a identificar y resolver posibles problemas de seguridad que suelen surgir cuando se utilizan dependencias de terceros.

Algunos de los posibles problemas que pueden resolverse en esta etapa incluyen:

  • Vulnerabilidades y otros problemas de seguridad similares presentes en una o más de las dependencias adjuntas.
  • La incompatibilidad entre el tipo de licencia utilizado en algunas de las dependencias y la licencia seleccionada por usted para el listado;

Dado que la seguridad del listado depende de la seguridad de cada dependencia utilizada, en caso de que haya problemas con cualquiera de los elementos anteriores, no se otorgará la certificación hasta que se resuelvan.

Análisis de código estático

Para detectar vulnerabilidades o código fuente malicioso, también ejecutamos una serie completa de comprobaciones de código estático frente al código y creamos los artefactos tras el envío.

Hay varios problemas que se pueden detectar en esta etapa y, como se mencionó en el paso anterior, aquí observamos tanto los defectos que pueden estar presentes en el código fuente como las posibles vulnerabilidades.

Deberá corregir las vulnerabilidades detectadas para que los posibles errores de lógica, la gestión incorrecta de datos, las configuraciones incorrectas y otros comportamientos no sean aprovechados por un agente malintencionado.

A través de este paso, nos aseguramos de que los listados estén protegidos contra las siguientes amenazas y estándares:

  • CWE principales 25;
  • OWASP entre los 10 mejores;
  • Otros estándares industriales y modelos de amenazas similares.

Durante este paso se realizarán comprobaciones de seguridad, cuando corresponda, de lo siguiente:

Elemento

Elemento

Elemento

Abuso de API

Problemas de autenticación

Problemas de autorización

Errores de gestión del búfer

Inyección de código

Calidad del código

Inyección de comando o argumento

Gestión de credenciales

Inyección de CRLF

Secuencias de comandos entre sitios (XSS)

Problemas criptográficos

FuncionesPeligiosas

Configuración de la implementación

Cruce de directorios

Encapsulación

Administración de errores

Fuga de información

Dependencias inseguras

Validación de entrada insuficiente

Registro y supervisión insuficientes

Errores numéricos

Puerta trasera potencial

Condiciones de carrera

Configuración del servidor

Fijación de sesión

Inyección de SQL

Hora y Estado

Inicialización que no es de confianza

Ruta de búsqueda que no es de confianza

Nota: Este paso solo se aplica a las actividades personalizadas. Para otros tipos de envíos, como aquellos en los que se utilizan flujos de trabajo y proyectos de UiPath, este análisis forma parte del proceso de prueba de funcionalidad a nivel Silver al que se someten todos los tipos de listados.

Análisis de código dinámico

Los listados se comprueban frente a comportamientos maliciosos en tiempo de ejecución.

Aunque a través de los niveles anteriores hemos cubierto una cantidad significativa de vectores de ataque, la etapa de escaneo dinámico garantiza un enfoque sólido para tener un listado seguro.

Por ejemplo, algunos de los comportamientos en tiempo de ejecución analizados pueden incluir:

  • Análisis de memoria: supervisión de comportamientos sospechosos;
  • Análisis de tráfico: supervisión de conexiones y tráfico de red;
  • Llamadas a la API: supervisa las llamadas a sistemas operativos potencialmente dañinas o el acceso a ciertas API.

Por lo tanto, al añadir el paso de análisis dinámico y combinarlo con los análisis estáticos anteriores, nos aseguramos de que los listados certificados se hayan sometido a la verificación de seguridad de nivel empresarial más reciente.

Prueba de lápiz (solo para actividades personalizadas)

Nuestro equipo interno de Probadores de Penetración realizará una prueba de detección profunda e inspeccionará manualmente el código fuente, el paquete y otros artefactos del listado.

Al hacer que los Pentesters de UiPath combinen los resultados de todas las etapas anteriores con el proceso de prueba de intrusión, garantizamos el nivel más alto de protección contra diferentes vectores de ataque.

¿Te ha resultado útil esta página?

Obtén la ayuda que necesitas
RPA para el aprendizaje - Cursos de automatización
Foro de la comunidad UiPath
Uipath Logo White
Confianza y seguridad
© 2005-2024 UiPath. Todos los derechos reservados.