- リリース ノート
- 概要
- 基本情報
- Marketplace ベンダー
- Marketplace のお客様
- パブリッシング ガイドライン
- すぐに使えるオートメーションのパブリッシング ガイドライン
- ソリューション アクセラレータの公開ガイドライン
- Integration Service コネクタの公開ガイドライン
- セキュリティと IP 保護
- その他の UiPath コンポーネント
- Node-RED
- セットアップ
- Teams
- Microsoft Teams Scope
- Create Team
- チームをグループから作成する
- Get Team
- Get Teams
- Channels
- チャンネルを作成
- Delete Channel
- Get Channel
- Get Channels
- Update Channel
- Chats
- Get Chat
- Get Chats
- Get Chat Members
- Messages
- Get Message
- メッセージを取得
- Get Message Replies
- Reply To Message
- メッセージを送信
- イベント
- イベント/予定を作成
- イベント/予定を削除
- Get Event
- Get Events
- ユーザー
- Get User Presence
- 動作のしくみ
- テクニカル リファレンス
- はじめに
- 概要
- セットアップ
- テクニカル リファレンス
- Azure Form Recognizer Scope
- アクティビティ
- Analyze Form
- Analyze Form Async
- Get Analyze Form Result
- Analyze Receipt
- Analyze Receipt Async
- Get Analyze Receipt Result
- Analyze Layout
- Analyze Layout Async
- Get Analyze Layout Result
- Train Model
- Get Models
- モデル のキーを取得
- Get Model Info
- Delete Model
- コネクタ
- How to Create Activities
- 連携の独自開発
ゴールド認定取得
ゴールド認定には、シルバー認定レベルのコンテンツ要件、セキュリティ要件、機能要件がすべて含まれています。コンポーネントはさらに、次に示す各要件を満たす必要があります。いずれかの手順で問題があった場合、Marketplace パートナーはそれらの問題を修正し、いくつかの基準を満たしていない可能性があるときにはそのすべてについて理由を説明する必要があります。
要件をすべて満たしたコンポーネントには、ゴールド認定済みバッジが授与され、コンポーネントのページに表示されます。
このレベルの認定を取得するには、最大でさらに 2 週間を要します。
サブミッションは一連のウイルス対策エンジンによってチェックされ、コンポーネントの成果物は、詳細なファイル解析により確実に評価および解凍されます。この作業は、あらゆる種類のファイルを含む 80 億を超えるファイルを対象として、コンテキストおよび脅威に対する詳細かつ豊富な分類機能を提供するファイル レピュテーション サービスに組み込まれています。
このステップは、考えられるマルウェアやウイルスに対する保護を提供します。
通常、コンポーネントは、その種類に関わらず、セキュリティ関連の脆弱性につながる可能性がある依存関係を持っています。
この段階は、サードパーティの依存関係を使用した場合にしばしば発生するセキュリティの潜在的な問題を特定、解決するうえで有効です。
この段階で解決できる可能性のある問題には、次のようなものがあります。
- コンポーネントが持つ 1 つ以上の依存関係に存在する脆弱性、その他の類似するセキュリティの問題
- 一部の依存関係で使用されているライセンスの種類と、コンポーネントに対して選択されたライセンスとの間の互換性の欠如
コンポーネントのセキュリティは、使用されているそれぞれの依存関係のセキュリティによって決まるため、上記の項目のいずれかに問題がある場合、それらが解決されるまで認定は許可されません。
脆弱性または悪意のあるソース コードを捕捉するために、サブミッションに含まれるコードおよびビルド成果物に対して、一連の包括的な静的コード チェックも実行します。
この段階では多数の問題を検出できます。また、前の手順で説明したように、ここではソース コードに存在する可能性がある欠陥と考えられる脆弱性の両方に注目します。
検出された脆弱性は修正し、ロジックの欠陥、不適切なデータ管理や設定、その他の動作が悪意のある攻撃者に悪用されないようにする必要があります。
このステップでは、コンポーネントが次のような (ただし、それに限定されない) 脅威および基準に対して保護されていることを確認します。
- CWE Top 25
- OWASP Top 10
- その他同様の業界標準および脅威モデル
このステップでは、以下の該当するものについてセキュリティ チェックを実施します。
|
アイテム |
アイテム |
アイテム |
|---|---|---|
|
API の誤用 認証の問題 認可の問題 バッファー管理のエラー コード インジェクション コードの品質 コマンド インジェクションまたは引数インジェクション 資格情報管理 CRLF インジェクション クロスサイト スクリプティング (XSS) |
暗号化の問題 危険な関数 デプロイの設定 ディレクトリ トラバーサル カプセル化 エラー処理 情報漏洩 セキュリティで保護されていない依存関係 不十分な入力検証 不十分なログと監視 |
数値エラー 潜在的バックドア 競合状態 サーバーの構成 セッション固定 SQL インジェクション 時間とステート 信頼されていない初期化 信頼されていない検索パス |
実行時の悪意のある動作に関してコンポーネントをチェックします。
これより前の認定レベルでも膨大な量の攻撃ベクトルが網羅されていますが、動的スキャンの段階では、安全なコンポーネントを実現するためのロバストなアプローチが確実に適用されます。
たとえば、以下のような実行時の動作を分析します。
- メモリ分析 - 不審な動作を監視します。
- トラフィック分析 - 接続とネットワーク トラフィックを監視します。
- API 呼び出し - 危険な可能性がある OS 呼び出しまたは特定 API へのアクセスを監視します。
このように、動的スキャンの手順を追加して前のレベルでの静的スキャンと組み合わせることで、認証済みコンポーネントに最新のエンタープライズ グレードのセキュリティ検証が確実に適用されるようにします。
