marketplace
latest
false
Importante :
Este conteúdo foi traduzido com auxílio de tradução automática.
UiPath logo, featuring letters U and I in white

Guia do usuário do Marketplace

Última atualização 5 de set de 2024

Certificado de Ouro

Isso inclui todos os requisitos de conteúdo, segurança e funcionalidade do nível do Certificado Silver. Além disso, a listagem precisa ser aprovada em cada um dos requisitos listados abaixo. Caso haja problemas em alguma das etapas, o Parceiro do Marketplace deverá corrigi-los e explicar as possíveis discrepâncias.

Assim que todos os requisitos forem atendidos, a listagem receberá o selo da Certificação de Ouro, que ficará visível na página da listagem.

O tempo necessário para obter esse nível de certificação é de até duas semanas adicionais.

Análise de Malware

Verificamos o envio com uma série de vários mecanismos de antivírus e asseguramos que os artefatos da listagem sejam avaliados e desempacotados por meio de uma análise detalhada dos arquivos. Isso é integrado aos serviços de notação de arquivos para fornecer contexto avançado e classificação de ameaças em profundidade em mais de 8 milhões de arquivos, incluindo todos os tipos de arquivos.

Essa etapa oferece proteção contra possíveis malwares e vírus.

Vulnerabilidades em dependências de terceiros

Independentemente do tipo de listagem, ela geralmente contém dependências que podem ter vulnerabilidades relacionadas à segurança.

Esse estágio ajuda a identificar e resolver possíveis problemas de segurança que costumam surgir ao usar dependências de terceiros.

Alguns dos possíveis problemas que podem ser resolvidos nessa etapa incluem:

  • Vulnerabilidades e outros problemas de segurança semelhantes presentes em uma ou mais dependências anexadas.
  • A incompatibilidade entre o tipo de licença usado em algumas das dependências e a licença selecionada por você para a listagem;

Como a segurança da listagem depende da segurança de cada dependência usada, caso haja problemas com algum dos itens acima, a certificação não será concedida até que todos sejam resolvidos.

Análise de código estático

Para detectar vulnerabilidades ou códigos-fonte mal-intencionados, também executamos uma série abrangente de verificações de código estático no código e criamos artefatos por trás do envio.

É possível detectar vários problemas nesta fase. Como mencionado na etapa anterior, examinamos aqui as falhas que podem estar presentes no código-fonte, bem como as possíveis vulnerabilidades.

As vulnerabilidades detectadas precisarão ser corrigidas por você para que possíveis falhas de lógica, gerenciamento de dados incorreto, configurações incorretas e outros comportamentos não sejam explorados por um agente mal-intencionado.

Por meio dessa etapa, garantimos que as listagens estejam protegidas contra as ameaças e padrões a seguir, entre outras:

  • Os 25 principais da CWE;
  • Os 10 Principais OWASP;
  • Outros padrões do setor e modelos de ameaças semelhantes.

Durante esta etapa, serão realizadas verificações de segurança, quando aplicável, para o seguinte:

Item

Item

Item

Abuso de API

Problemas de autenticação

Problemas de autorização

Erros de gerenciamento de buffer

Injeção de Código

Qualidade do Código

Injeção de Comando ou Argumento

Gerenciamento de credenciais

Injeção de CRLF

Scripting Intersite (XSS)

Problemas criptográficos

Funções perigosos

Configuração da implantação

Traslado do Diretório

Encapsulamento

Tratamento de Erro

Fuga de Informações

Dependências Não Seguras

Validação de entrada insuficiente

Registro em Log e Monitoramento Insuficientes

Erros numéricos

Backdoor em potencial

Condições da corrida

Configuração do Servidor

Fixação de sessão

Injeção de SQL

Hora e Estado

Inicialização Não Confiável

Caminho de Pesquisa Não Confiável

Observação: essa etapa se aplica apenas a atividades personalizadas. Para outros tipos de envios, como aqueles em que os fluxos de trabalho e projetos da UiPath são usados, essa análise faz parte do processo de teste de funcionalidade no nível Prata pelo qual todos os tipos de listagens são submetidos.

Análise Dinâmica de Código

As listagens são verificadas quanto a comportamento malicioso no runtime.

Embora tenhamos abordado uma parte significativa dos vetores de ataque nos níveis anteriores, o estágio de verificação dinâmica garante uma abordagem robusta para uma listagem segura.

Por exemplo, alguns dos comportamentos de runtime analisados podem incluir:

  • Análise de memória – Monitoramento de comportamentos suspeitas;
  • Análise de tráfego – Monitoramento de conexões e tráfego de rede;
  • Chamadas de API – Monitoramento de chamadas do sistema operacional potencialmente perigoso ou acesso a certas APIs.

Portanto, ao adicionar a etapa de verificação dinâmica e associá-la às verificações estáticas anteriores, garantimos que as listagens certificadas passaram pela verificação de segurança de nível empresarial mais recente.

Teste de intrusão (somente para atividades personalizadas)

Nossa equipe interna de testes de intrusão realizará um teste de intrusão aprofundado, além de inspecionar manualmente o código-fonte, o pacote e outros artefatos da listagem.

Ao fazer os Pentesters do UiPath combinar os resultados de todas as etapas anteriores com o processo de teste de penetração, garantimos o mais alto nível de proteção contra diferentes vetores de ataque.

Esta página foi útil?

Obtenha a ajuda que você precisa
Aprendendo RPA - Cursos de automação
Fórum da comunidade da Uipath
Uipath Logo White
Confiança e segurança
© 2005-2024 UiPath. Todos os direitos reservados.