marketplace
latest
false
Important :
Ce contenu a été traduit à l'aide d'une traduction automatique.
UiPath logo, featuring letters U and I in white

Guide de l'utilisateur de la place de marché UiPath

Dernière mise à jour 5 sept. 2024

Certifié Or (Gold Certified)

Cela inclut toutes les exigences de contenu, de sécurité et de fonctionnalité à partir du niveau Silver Certified. En outre, la liste doit répondre à chacune des exigences énumérées ci-dessous. En cas de problèmes avec l'une des étapes, le partenaire de la place de marché UiPath devra les résoudre et expliquer les anomalies éventuelles.

Une fois toutes les exigences remplies, la liste recevra le badge Certifié Or (Gold Certified) qui sera visible sur la page de la liste.

Le temps nécessaire à l’obtention de ce niveau de certification peut aller jusqu’à deux semaines supplémentaires.

Analyse des logiciels malveillants

Nous vérifions la soumission par rapport à une série de plusieurs moteurs antivirus et veillons à ce que les artefacts de la liste soient évalués et décompressés grâce à une analyse approfondie des fichiers. Celui-ci est intégré aux services de File Reputed pour fournir un contexte riche en profondeur et une classification des menaces sur plus de 8 milliards de fichiers, y compris tous les types de fichiers.

Cette étape offre une protection contre les logiciels malveillants et les virus potentiels.

Vulnérabilités dans les dépendances tierces

Quel que soit le type de liste, celle-ci contient généralement des dépendances qui peuvent présenter des vulnérabilités liées à la sécurité.

Cette étape permet d'identifier et de résoudre les éventuels problèmes de sécurité qui surviennent souvent lors de l'utilisation de dépendances tierces.

Voici quelques-uns des problèmes qui peuvent être résolus au cours de cette étape :

  • Les vulnérabilités et autres problèmes de sécurité similaires présents dans une ou plusieurs des dépendances associées.
  • L'incompatibilité entre le type de licence utilisé dans certaines dépendances et la licence que vous avez sélectionnée pour la liste ;

Étant donné que la sécurité de la liste dépend de la sécurité de chaque dépendance utilisée, en cas de problèmes avec l'un des éléments ci-dessus, la certification ne sera pas accordée tant que ceux-ci ne seront pas résolus.

Analyse de code statique

Pour détecter les vulnérabilités ou le code source malveillant, nous exécutons également une série complète de vérifications de code statiques par rapport au code et créons des artefacts derrière la soumission.

Un nombre variable de problèmes peuvent être détectés à ce stade et, comme mentionné à l'étape précédente, nous examinons ici à la fois les failles qui pourraient être présentes dans le code source et les vulnérabilités possibles.

Vous devrez corriger les vulnérabilités détectées afin qu'aucun acteur malveillant n'exploite d'éventuelles failles logiques, une gestion incorrecte des données, des configurations incorrectes et d'autres comportements.

Grâce à cette étape, nous nous assurons que les listes sont protégées contre, sans s'y limiter, les menaces et normes suivantes :

  • Top 25 CW;
  • Top 10 OWASP;
  • Autres normes de l’industrie et modèles de menaces similaires.

Au cours de cette étape, des contrôles de sécurité seront effectués, le cas échéant, pour les éléments suivants :

Elément

Elément

Elément

Abus d'API

Problèmes d'authentification

Problèmes d’autorisation

Erreurs de gestion du tampon

Injection de code

Qualité du code

Injection de commande ou d'argument

Gestion des identifiants

Injection CRLF

Cross-Site Scripting (XSS)

Problèmes cryptographiques

Fonctions à risque

Configuration du déploiement

Parcourir le répertoire

Encapsulation

Gestion des erreurs

Fuite d’informations

Dépendances non sécurisées

Validation d’entrée insuffisante

Journalisation et surveillance insuffisantes

Erreurs numériques

Backdoor potentiel

Conditions de concurrence

Configuration du serveur

Fixation de session

Injection SQL

Heure et état

Initialisation non approuvée

Chemin de recherche non approuvé

Remarque : cette étape s'applique uniquement aux activités personnalisées. Pour d'autres types d'envois tels que ceux où les workflows et les projets UiPath sont utilisés, cette analyse fait partie du processus de test de fonctionnalité au niveau Argent auquel tous les types de listes sont soumis.

Analyse dynamique du code

Les listes sont vérifiées contre les comportements malveillants au moment du runtime.

Même si les niveaux précédents couvraient un nombre important de vecteurs d’attaque, l’étape d’analyse dynamique garantit une approche robuste pour avoir une liste sécurisée.

Par exemple, certains des comportements de runtime analysés peuvent inclure :

  • Analyse de la mémoire – Surveillance des comportements suspects ;
  • Analyse du trafic – Surveillance des connexions et du trafic réseau ;
  • Appels d'API – Surveillance des appels de système d'exploitation potentiellement dangereux ou accès à certaines API.

Par conséquent, en ajoutant l'étape d'analyse dynamique et en la couplant aux analyses statiques précédentes, nous nous assurons que les listes certifiées ont fait l'objet de la dernière vérification de sécurité de qualité professionnelle.

Test d'intrusion (uniquement pour les activités personnalisées)

Notre équipe interne de testeurs d’intrusion effectuera un test d’intrusion approfondi et inspectera manuellement le code source, le package et d’autres artefacts de liste.

En demandant aux testeurs d'UiPath de combiner les résultats de toutes les étapes précédentes avec le processus de test d'intrusion, nous assurons le plus haut niveau de protection contre les différents vecteurs d'attaque.

Cette page vous a-t-elle été utile ?

Obtenez l'aide dont vous avez besoin
Formation RPA - Cours d'automatisation
Forum de la communauté UiPath
Uipath Logo White
Confiance et sécurité
© 2005-2024 UiPath Tous droits réservés.