通知を受け取る

UiPath Marketplace

UiPath Marketplace ガイド

ゴールド認定取得

ゴールド認定には、シルバー認定レベルのコンテンツ要件、セキュリティ要件、機能要件がすべて含まれています。コンポーネントはさらに、次に示す各要件を満たす必要があります。いずれかの手順で問題があった場合、Marketplace パートナーはそれらの問題を修正し、いくつかの基準を満たしていない可能性があるときにはそのすべてについて理由を説明する必要があります。

要件をすべて満たしたコンポーネントには、ゴールド認定済みバッジが授与され、コンポーネントのページに表示されます。

このレベルの認定を取得するには、最大でさらに 2 週間を要します。

マルウェア分析

サブミッションは一連のウイルス対策エンジンによってチェックされ、コンポーネントの成果物は、詳細なファイル解析により確実に評価および解凍されます。この作業は、あらゆる種類のファイルを含む 80 億を超えるファイルを対象として、コンテキストおよび脅威に対する詳細かつ豊富な分類機能を提供するファイル レピュテーション サービスに組み込まれています。

このステップは、考えられるマルウェアやウイルスに対する保護を提供します。

サードパーティー依存関係の脆弱性

通常、コンポーネントは、その種類に関わらず、セキュリティ関連の脆弱性につながる可能性がある依存関係を持っています。

この段階は、サードパーティーの依存関係を使用した場合にしばしば発生するセキュリティの潜在的な問題を特定、解決するうえで有効です。
この段階で解決できる可能性のある問題には、次のようなものがあります。

  • コンポーネントが持つ 1 つ以上の依存関係に存在する脆弱性、その他の類似するセキュリティの問題
  • 一部の依存関係で使用されているライセンスの種類と、コンポーネントに対して選択されたライセンスとの間の互換性の欠如

コンポーネントのセキュリティは、使用されているそれぞれの依存関係のセキュリティによって決まるため、上記の項目のいずれかに問題がある場合、それらが解決されるまで認定は許可されません。

静的コード分析

脆弱性または悪意のあるソース コードを捕捉するために、サブミッションに含まれるコードおよびビルド成果物に対して、一連の包括的な静的コード チェックも実行します。

この段階では多数の問題を検出できます。また、前の手順で説明したように、ここではソース コードに存在する可能性がある欠陥と考えられる脆弱性の両方に注目します。
検出された脆弱性は修正し、ロジックの欠陥、不適切なデータ管理や設定、その他の動作が悪意のある攻撃者に悪用されないようにする必要があります。

このステップでは、コンポーネントが次のような (ただし、それに限定されない) 脅威および基準に対して保護されていることを確認します。

  • CWE Top 25
  • OWASP Top 10
  • その他同様の業界標準および脅威モデル

このステップでは、以下の該当するものについてセキュリティ チェックを実施します。

Item

Item

Item

API Abuse

Authentication Issues

Authorization Issues

Buffer Management Errors

Code Injection

Code Quality

Command or Argument Injection

Credentials Management

CRLF Injection

Cross-Site Scripting (XSS)

Cryptographic Issues

Dangerous Functions

Deployment Configuration

Directory Traversal

Encapsulation

Error Handling

Information Leakage

Insecure Dependencies

Insufficient Input Validation

Insufficient Logging & Monitoring

Numeric Errors

Potential Backdoor

Race Conditions

Server Configuration

Session Fixation

SQL Injection

Time and State

Untrusted Initialization

Untrusted Search Path

📘

注:

この手順は、カスタム アクティビティのみに適用されます。UiPath のワークフローやプロジェクトを使用したものなど、他の種類のサブミッションの場合、この分析はすべての種類のコンポーネントに適用されるシルバー レベルの機能テスト プロセスに含まれます。

動的コード分析

実行時の悪意のある動作に関してコンポーネントをチェックします。

これより前の認定レベルでも膨大な量の攻撃ベクトルが網羅されていますが、動的スキャンの段階では、安全なコンポーネントを実現するためのロバストなアプローチが確実に適用されます。

たとえば、以下のような実行時の動作を分析します。

  • メモリ分析 - 不審な動作を監視します。
  • トラフィック分析 - 接続とネットワーク トラフィックを監視します。
  • API 呼び出し - 危険な可能性がある OS 呼び出しまたは特定 API へのアクセスを監視します。

このように、動的スキャンの手順を追加して前のレベルでの静的スキャンと組み合わせることで、認証済みコンポーネントに最新のエンタープライズ グレードのセキュリティ検証が確実に適用されるようにします。

侵入テスト (カスタム アクティビティのみ)

侵入テスト担当の UiPath 社内チームは、詳細な侵入テストを実行するとともに、ソース コード、パッケージ、その他のコンポーネント成果物を手動で検査します。

UiPath の侵入テスト担当者がすべての前段階の結果と侵入テスト プロセスを組み合わせることで、さまざまな攻撃ベクトルに対する最高レベルの保護が保証されます。

11 か月前に更新


ゴールド認定取得


改善の提案は、API リファレンスのページでは制限されています

改善を提案できるのは Markdown の本文コンテンツのみであり、API 仕様に行うことはできません。