- Notes de publication
- Vue d'ensemble (Overview)
- Démarrage
- Fournisseurs Marketplace
- Clients Marketplace
- Directives de publication
- Directives de publication pour les automatisations prêtes à l'emploi
- Publication de directives pour les accélérateurs de solution
- Directives de publication pour les connecteurs Integration Service
- Publication des directives pour les modèles d’application Process Mining
- Sécurité et protection IP
- Autres listes UiPath
- Node-RED
- Configuration
- Équipe
- Fonctionnalités de Microsoft Teams
- Créer une équipe
- Créer une équipe à partir d'un groupe
- Obtenir l'équipe
- Get Teams
- Canaux
- Créer le canal
- Supprimer le canal
- Obtenir le canal
- Obtenir les canaux
- Mettre à jour le canal
- Chats
- Obtenir des chats
- Get Chats
- Récupérer des membres du chat
- Messages
- Obtenir des messages
- Get Messages
- Obtenir les réponses de message
- Répondre au message
- Envoyer message
- Events
- Créer un événement
- Supprimer l'événement
- Get Event
- Obtenir les événements
- Utilisateurs
- Obtenir la présence de l'utilisateur
- Mode de fonctionnement
- Références techniques
- Démarrer
- Configuration
- Références techniques
- Démarrages rapides
- Portée d'Amazon
- Activités
- Analyser un document d'une seule page
- Analyser un document multipage
- Démarrer l’analyse du document
- Obtenir le statut de l'analyse du document
- Récupérer l'analyse du document
- Objet Page Detail
- Mode de fonctionnement
- Références techniques
- Démarrer
- À propos
- Configuration
- Références techniques
- Étendue Azure Form Recorder
- Activités
- Analyser le formulaire
- Analyser le formulaire asynchrone
- Récupérer le résultat du formulaire d'analyse
- Analyser le reçu
- Analyser le reçu asynchrone
- Obtenir le résultat du reçu d'analyse
- Analyser la mise en page
- Analyser la mise en page asynchrone
- Obtenir le résultat de l’analyse de la mise en page
- Entraîner le modèle
- Obtenir les modèles
- Obtenir les clés de modèle
- Obtenir les informations de modèle
- Supprimer le modèle
- Connecteurs
- Comment créer des activités
- Créer votre intégration
Guide de l'utilisateur Marketplace
Certifié Or (Gold Certified)
Cela inclut toutes les exigences de contenu, de sécurité et de fonctionnalité à partir du niveau Silver Certified. En outre, la liste doit répondre à chacune des exigences énumérées ci-dessous. En cas de problèmes avec l'une des étapes, le partenaire de la place de marché UiPath devra les résoudre et expliquer les anomalies éventuelles.
Une fois toutes les exigences remplies, la liste recevra le badge Certifié Or (Gold Certified) qui sera visible sur la page de la liste.
Le temps nécessaire à l’obtention de ce niveau de certification peut aller jusqu’à deux semaines supplémentaires.
Analyse des logiciels malveillants
Nous vérifions la soumission par rapport à une série de plusieurs moteurs antivirus et veillons à ce que les artefacts de la liste soient évalués et décompressés grâce à une analyse approfondie des fichiers. Celui-ci est intégré aux services de File Reputed pour fournir un contexte riche en profondeur et une classification des menaces sur plus de 8 milliards de fichiers, y compris tous les types de fichiers.
Cette étape offre une protection contre les logiciels malveillants et les virus potentiels.
Vulnérabilités dans les dépendances tierces
Quel que soit le type de liste, celle-ci contient généralement des dépendances qui peuvent présenter des vulnérabilités liées à la sécurité.
Cette étape permet d'identifier et de résoudre les éventuels problèmes de sécurité qui surviennent souvent lors de l'utilisation de dépendances tierces.
Voici quelques-uns des problèmes qui peuvent être résolus au cours de cette étape :
- Les vulnérabilités et autres problèmes de sécurité similaires présents dans une ou plusieurs des dépendances associées.
- L'incompatibilité entre le type de licence utilisé dans certaines dépendances et la licence que vous avez sélectionnée pour la liste ;
Étant donné que la sécurité de la liste dépend de la sécurité de chaque dépendance utilisée, en cas de problèmes avec l'un des éléments ci-dessus, la certification ne sera pas accordée tant que ceux-ci ne seront pas résolus.
Analyse de code statique
Pour détecter les vulnérabilités ou le code source malveillant, nous exécutons également une série complète de vérifications de code statiques par rapport au code et créons des artefacts derrière la soumission.
Un nombre variable de problèmes peuvent être détectés à ce stade et, comme mentionné à l'étape précédente, nous examinons ici à la fois les failles qui pourraient être présentes dans le code source et les vulnérabilités possibles.
Vous devrez corriger les vulnérabilités détectées afin qu'aucun acteur malveillant n'exploite d'éventuelles failles logiques, une gestion incorrecte des données, des configurations incorrectes et d'autres comportements.
Grâce à cette étape, nous nous assurons que les listes sont protégées contre, sans s'y limiter, les menaces et normes suivantes :
- CWE Top 25;
- OWASP Top 10;
- Autres normes de l’industrie et modèles de menaces similaires.
Au cours de cette étape, des contrôles de sécurité seront effectués, le cas échéant, pour les éléments suivants :
| Elément | Elément | Elément |
|---|---|---|
| API Abuse Authentication Issues Authorization Issues Buffer Management Errors Code Injection Code Quality Command or Argument Injection Credentials Management CRLF Injection Cross-Site Scripting (XSS) | Cryptographic Issues Dangerous Functions Deployment Configuration Directory Traversal Encapsulation Error Handling Information Leakage Insecure Dependencies Insufficient Input Validation Insufficient Logging & Monitoring | Numeric Errors Potential Backdoor Race Conditions Server Configuration Session Fixation SQL Injection Time and State Untrusted Initialization Untrusted Search Path |
This step applies only to Custom Activities. For other types of submissions such as those where UiPath workflows and projects are used, this analysis is part of the functionality testing process at Silver level which all types of listings undergo.
Analyse dynamique du code
Les listes sont vérifiées contre les comportements malveillants au moment du runtime.
Même si les niveaux précédents couvraient un nombre important de vecteurs d’attaque, l’étape d’analyse dynamique garantit une approche robuste pour avoir une liste sécurisée.
Par exemple, certains des comportements de runtime analysés peuvent inclure :
- Analyse de la mémoire – Surveillance des comportements suspects ;
- Analyse du trafic – Surveillance des connexions et du trafic réseau ;
- Appels d'API – Surveillance des appels de système d'exploitation potentiellement dangereux ou accès à certaines API.
Par conséquent, en ajoutant l'étape d'analyse dynamique et en la couplant aux analyses statiques précédentes, nous nous assurons que les listes certifiées ont fait l'objet de la dernière vérification de sécurité de qualité professionnelle.
Test d'intrusion (uniquement pour les activités personnalisées)
Notre équipe interne de testeurs d’intrusion effectuera un test d’intrusion approfondi et inspectera manuellement le code source, le package et d’autres artefacts de liste.
En demandant aux testeurs d'UiPath de combiner les résultats de toutes les étapes précédentes avec le processus de test d'intrusion, nous assurons le plus haut niveau de protection contre les différents vecteurs d'attaque.