Marketplace
最新
バナーの背景画像
Marketplace ユーザー ガイド
最終更新日 2024年2月28日

ゴールド認定取得

ゴールド認定には、シルバー認定レベルのコンテンツ要件、セキュリティ要件、機能要件がすべて含まれています。コンポーネントはさらに、次に示す各要件を満たす必要があります。いずれかの手順で問題があった場合、Marketplace パートナーはそれらの問題を修正し、いくつかの基準を満たしていない可能性があるときにはそのすべてについて理由を説明する必要があります。

要件をすべて満たしたコンポーネントには、ゴールド認定済みバッジが授与され、コンポーネントのページに表示されます。

このレベルの認定を取得するには、最大でさらに 2 週間を要します。

マルウェア分析

サブミッションは一連のウイルス対策エンジンによってチェックされ、コンポーネントの成果物は、詳細なファイル解析により確実に評価および解凍されます。この作業は、あらゆる種類のファイルを含む 80 億を超えるファイルを対象として、コンテキストおよび脅威に対する詳細かつ豊富な分類機能を提供するファイル レピュテーション サービスに組み込まれています。

このステップは、考えられるマルウェアやウイルスに対する保護を提供します。

サードパーティ依存関係の脆弱性

通常、コンポーネントは、その種類に関わらず、セキュリティ関連の脆弱性につながる可能性がある依存関係を持っています。

この段階は、サードパーティの依存関係を使用した場合にしばしば発生するセキュリティの潜在的な問題を特定、解決するうえで有効です。

この段階で解決できる可能性のある問題には、次のようなものがあります。

  • コンポーネントが持つ 1 つ以上の依存関係に存在する脆弱性、その他の類似するセキュリティの問題
  • 一部の依存関係で使用されているライセンスの種類と、コンポーネントに対して選択されたライセンスとの間の互換性の欠如

コンポーネントのセキュリティは、使用されているそれぞれの依存関係のセキュリティによって決まるため、上記の項目のいずれかに問題がある場合、それらが解決されるまで認定は許可されません。

静的コード分析

脆弱性または悪意のあるソース コードを捕捉するために、サブミッションに含まれるコードおよびビルド成果物に対して、一連の包括的な静的コード チェックも実行します。

この段階では多数の問題を検出できます。また、前の手順で説明したように、ここではソース コードに存在する可能性がある欠陥と考えられる脆弱性の両方に注目します。

検出された脆弱性は修正し、ロジックの欠陥、不適切なデータ管理や設定、その他の動作が悪意のある攻撃者に悪用されないようにする必要があります。

このステップでは、コンポーネントが次のような (ただし、それに限定されない) 脅威および基準に対して保護されていることを確認します。

  • CWE Top 25
  • OWASP Top 10
  • その他同様の業界標準および脅威モデル

このステップでは、以下の該当するものについてセキュリティ チェックを実施します。

アイテム

アイテム

アイテム

API の誤用

認証の問題

認可の問題

バッファー管理のエラー

コード インジェクション

コードの品質

コマンド インジェクションまたは引数インジェクション

資格情報管理

CRLF インジェクション

クロスサイト スクリプティング (XSS)

暗号化の問題

危険な関数

デプロイの設定

ディレクトリ トラバーサル

カプセル化

エラー処理

情報漏洩

セキュリティで保護されていない依存関係

不十分な入力検証

不十分なログと監視

数値エラー

潜在的バックドア

競合状態

サーバーの構成

セッション固定

SQL インジェクション

時間とステート

信頼されていない初期化

信頼されていない検索パス

注: この手順は、カスタム アクティビティのみに適用されます。UiPath のワークフローやプロジェクトを使用したものなど、他の種類のサブミッションの場合、この分析はすべての種類のコンポーネントに適用されるシルバー レベルの機能テスト プロセスに含まれます。

動的コード分析

実行時の悪意のある動作に関してコンポーネントをチェックします。

これより前の認定レベルでも膨大な量の攻撃ベクトルが網羅されていますが、動的スキャンの段階では、安全なコンポーネントを実現するためのロバストなアプローチが確実に適用されます。

たとえば、以下のような実行時の動作を分析します。

  • メモリ分析 - 不審な動作を監視します。
  • トラフィック分析 - 接続とネットワーク トラフィックを監視します。
  • API 呼び出し - 危険な可能性がある OS 呼び出しまたは特定 API へのアクセスを監視します。

このように、動的スキャンの手順を追加して前のレベルでの静的スキャンと組み合わせることで、認証済みコンポーネントに最新のエンタープライズ グレードのセキュリティ検証が確実に適用されるようにします。

侵入テスト (カスタム アクティビティのみ)

侵入テスト担当の UiPath 社内チームは、詳細な侵入テストを実行するとともに、ソース コード、パッケージ、その他のコンポーネント成果物を手動で検査します。

UiPath の侵入テスト担当者がすべての前段階の結果と侵入テスト プロセスを組み合わせることで、さまざまな攻撃ベクトルに対する最高レベルの保護が保証されます。

Was this page helpful?

サポートを受ける
RPA について学ぶ - オートメーション コース
UiPath コミュニティ フォーラム
UiPath ロゴ (白)
信頼とセキュリティ
© 2005-2024 UiPath. All rights reserved.