- Notas relacionadas
- Información general
- Primeros pasos
- Proveedores de Marketplace
- Clientes de Marketplace
- Pautas de publicación
- Directrices de publicación para automatizaciones listas para usar
- Directrices de publicación para aceleradores de soluciones
- Directrices de publicación para conectores de Integration Service
- Seguridad y protección de IP
- Otros listados de UiPath
- Node-RED
- Configuración
- Equipos
- Ámbito de Microsoft Teams
- Crear equipo
- Crear equipo a partir de un grupo
- Obtener equipo
- Obtener Teams
- Canales
- Crear canal
- Eliminar canal
- Obtener canal
- Obtener canales
- Actualizar canal
- Charlas
- Obtener chat
- Obtener chats
- Obtener miembros del chat
- Mensajes
- Obtener mensaje
- Obtener mensajes
- Obtener respuestas de mensajes
- Responder al mensaje
- Enviar mensaje
- Events
- Crear Evento
- Eliminar Evento
- Obtener evento
- Obtener eventos
- Usuarios
- Obtener presencia del usuario
- Cómo funciona
- Referencias técnicas
- Comience ya
- Acerca de
- Configuración
- Referencias técnicas
- Ámbito del reconocedor de formularios de Azure
- Actividades
- Analizar formulario
- Analizar formulario asíncrono
- Obtener analizar el resultado del formulario
- Analizar recibo
- Analizar recibo asíncrono
- Obtener analizar resultado de recibo
- Analizar diseño
- Analizar diseño asíncrono
- Obtener analizar el resultado del diseño
- Modelo de entrenamiento
- Obtener modelos
- Obtener claves de modelo
- Obtener información del modelo
- Eliminar modelo
- Conectores
- Cómo crear actividades
- Cree su integración
Certificado oro
Esto incluye todos los requisitos de contenido, seguridad y funcionalidad del nivel Silver Certified. Además, el listado debe cumplir cada uno de los requisitos que se enumeran a continuación. En caso de que haya problemas con cualquiera de los pasos, el socio de Marketplace deberá solucionarlos y explicar cualquier posible discrepancia.
Una vez que se cumplan todos los requisitos, el listado recibirá la insignia de oro certificado, que será visible en la página del listado.
El tiempo necesario para obtener este nivel de certificación es de hasta dos semanas adicionales.
Verificamos el envío con una serie de varios motores antivirus y nos aseguramos de que los artefactos del listado se evalúen y descompriman mediante un análisis profundo de archivos. Esto se integra con los servicios de fama de archivos para proporcionar un contexto enriquecido y clasificación de amenazas en más de 8 000 millones de archivos, incluidos todos los tipos.
Este paso ofrece protección contra posibles virus y malware.
Independientemente del tipo de listado, el listado normalmente contiene dependencias que pueden tener vulnerabilidades relacionadas con la seguridad.
Esta etapa ayuda a identificar y resolver posibles problemas de seguridad que suelen surgir cuando se utilizan dependencias de terceros.
Algunos de los posibles problemas que pueden resolverse en esta etapa incluyen:
- Vulnerabilidades y otros problemas de seguridad similares presentes en una o más de las dependencias adjuntas.
- La incompatibilidad entre el tipo de licencia utilizado en algunas de las dependencias y la licencia seleccionada por usted para el listado;
Dado que la seguridad del listado depende de la seguridad de cada dependencia utilizada, en caso de que haya problemas con cualquiera de los elementos anteriores, no se otorgará la certificación hasta que se resuelvan.
Para detectar vulnerabilidades o código fuente malicioso, también ejecutamos una serie completa de comprobaciones de código estático frente al código y creamos los artefactos tras el envío.
Hay varios problemas que se pueden detectar en esta etapa y, como se mencionó en el paso anterior, aquí observamos tanto los defectos que pueden estar presentes en el código fuente como las posibles vulnerabilidades.
Deberá corregir las vulnerabilidades detectadas para que los posibles errores de lógica, la gestión incorrecta de datos, las configuraciones incorrectas y otros comportamientos no sean aprovechados por un agente malintencionado.
A través de este paso, nos aseguramos de que los listados estén protegidos contra las siguientes amenazas y estándares:
- CWE principales 25;
- OWASP entre los 10 mejores;
- Otros estándares industriales y modelos de amenazas similares.
Durante este paso se realizarán comprobaciones de seguridad, cuando corresponda, de lo siguiente:
|
Elemento |
Elemento |
Elemento |
|---|---|---|
|
Abuso de API Problemas de autenticación Problemas de autorización Errores de gestión del búfer Inyección de código Calidad del código Inyección de comando o argumento Gestión de credenciales Inyección de CRLF Secuencias de comandos entre sitios (XSS) |
Problemas criptográficos FuncionesPeligiosas Configuración de la implementación Cruce de directorios Encapsulación Administración de errores Fuga de información Dependencias inseguras Validación de entrada insuficiente Registro y supervisión insuficientes |
Errores numéricos Puerta trasera potencial Condiciones de carrera Configuración del servidor Fijación de sesión Inyección de SQL Hora y Estado Inicialización que no es de confianza Ruta de búsqueda que no es de confianza |
Los listados se comprueban frente a comportamientos maliciosos en tiempo de ejecución.
Aunque a través de los niveles anteriores hemos cubierto una cantidad significativa de vectores de ataque, la etapa de escaneo dinámico garantiza un enfoque sólido para tener un listado seguro.
Por ejemplo, algunos de los comportamientos en tiempo de ejecución analizados pueden incluir:
- Análisis de memoria: supervisión de comportamientos sospechosos;
- Análisis de tráfico: supervisión de conexiones y tráfico de red;
- Llamadas a la API: supervisa las llamadas a sistemas operativos potencialmente dañinas o el acceso a ciertas API.
Por lo tanto, al añadir el paso de análisis dinámico y combinarlo con los análisis estáticos anteriores, nos aseguramos de que los listados certificados se hayan sometido a la verificación de seguridad de nivel empresarial más reciente.
Nuestro equipo interno de Probadores de Penetración realizará una prueba de detección profunda e inspeccionará manualmente el código fuente, el paquete y otros artefactos del listado.
Al hacer que los Pentesters de UiPath combinen los resultados de todas las etapas anteriores con el proceso de prueba de intrusión, garantizamos el nivel más alto de protección contra diferentes vectores de ataque.
