- Notas de versão
- Visão geral
- Introdução
- Fornecedores do Marketplace
- Clientes do Marketplace
- Diretrizes de publicação
- Diretrizes de publicação para automações prontas para execução
- Diretrizes de publicação para aceleradores de soluções
- Diretrizes de publicação para conectores do Integration Service
- Diretrizes de publicação para modelos de aplicativos do Process Mining
- Segurança e Proteção de IP
- Outras listagens da UiPath
- Node-RED
- Configuração
- Teams
- Escopo do Microsoft Teams
- Criar equipe
- Criar equipe do grupo
- Get Team
- Obter equipes
- Canais
- Criar canal
- Excluir canal
- Obter canal
- Obter canais
- Canal de Atualização
- Chats
- Obter chat
- Obter chats
- Get Chat Members
- Mensagens
- Get message
- Get Messages
- Obter respostas da mensagem
- Responder à mensagem
- Enviar mensagem
- Events
- Create Event
- Delete Event
- Get Event
- Obter eventos
- Usuários
- Get User Presença
- Como funciona
- Referências técnicas
- Introdução
- Configuração
- Referências técnicas
- Inícios rápidos
- Escopo da Amazon
- Atividades
- Analisar documento de página única
- Analisar documento de várias páginas
- Iniciar análise do documento
- Obter status da análise do documento
- Obter análise do documento
- O objeto Detalhes da página
- Como funciona
- Referências técnicas
- Introdução
- Sobre
- Configuração
- Referências técnicas
- Escopo do Reconhecedor de formulário do Azure
- Atividades
- Analisar formulário
- Analisar formulário assíncrono
- Obter resultado do formulário de análise
- Analisar recibo
- Analisar recibo assíncrono
- Obter resultado de recebimento da análise
- Analisar layout
- Analisar layout assíncrono
- Obter resultado da análise de layout
- Treinar modelo
- Obter modelos
- Obter chaves do modelo
- Obter informações do modelo
- Excluir modelo
- Conectores
- Como criar atividades
- Crie sua integração
Guia do usuário do Marketplace
Certificado de Ouro
Isso inclui todos os requisitos de conteúdo, segurança e funcionalidade do nível do Certificado Silver. Além disso, a listagem precisa ser aprovada em cada um dos requisitos listados abaixo. Caso haja problemas em alguma das etapas, o Parceiro do Marketplace deverá corrigi-los e explicar as possíveis discrepâncias.
Assim que todos os requisitos forem atendidos, a listagem receberá o selo da Certificação de Ouro, que ficará visível na página da listagem.
O tempo necessário para obter esse nível de certificação é de até duas semanas adicionais.
Análise de malware
Verificamos o envio com uma série de vários mecanismos de antivírus e asseguramos que os artefatos da listagem sejam avaliados e desempacotados por meio de uma análise detalhada dos arquivos. Isso é integrado aos serviços de notação de arquivos para fornecer contexto avançado e classificação de ameaças em profundidade em mais de 8 milhões de arquivos, incluindo todos os tipos de arquivos.
Essa etapa oferece proteção contra possíveis malwares e vírus.
Vulnerabilidades em dependências de terceiros
Independentemente do tipo de listagem, ela geralmente contém dependências que podem ter vulnerabilidades relacionadas à segurança.
Esse estágio ajuda a identificar e resolver possíveis problemas de segurança que costumam surgir ao usar dependências de terceiros.
Alguns dos possíveis problemas que podem ser resolvidos nessa etapa incluem:
- Vulnerabilidades e outros problemas de segurança semelhantes presentes em uma ou mais dependências anexadas.
- A incompatibilidade entre o tipo de licença usado em algumas das dependências e a licença selecionada por você para a listagem;
Como a segurança da listagem depende da segurança de cada dependência usada, caso haja problemas com algum dos itens acima, a certificação não será concedida até que todos sejam resolvidos.
Análise estática de código
Para detectar vulnerabilidades ou códigos-fonte mal-intencionados, também executamos uma série abrangente de verificações de código estático no código e criamos artefatos por trás do envio.
É possível detectar vários problemas nesta fase. Como mencionado na etapa anterior, examinamos aqui as falhas que podem estar presentes no código-fonte, bem como as possíveis vulnerabilidades.
As vulnerabilidades detectadas precisarão ser corrigidas por você para que possíveis falhas de lógica, gerenciamento de dados incorreto, configurações incorretas e outros comportamentos não sejam explorados por um agente mal-intencionado.
Por meio dessa etapa, garantimos que as listagens estejam protegidas contra as ameaças e padrões a seguir, entre outras:
- CWE Top 25;
- OWASP Top 10;
- Outros padrões do setor e modelos de ameaças semelhantes.
Durante esta etapa, serão realizadas verificações de segurança, quando aplicável, para o seguinte:
| Item | Item | Item |
|---|---|---|
| API Abuse Authentication Issues Authorization Issues Buffer Management Errors Code Injection Code Quality Command or Argument Injection Credentials Management CRLF Injection Cross-Site Scripting (XSS) | Cryptographic Issues Dangerous Functions Deployment Configuration Directory Traversal Encapsulation Error Handling Information Leakage Insecure Dependencies Insufficient Input Validation Insufficient Logging & Monitoring | Numeric Errors Potential Backdoor Race Conditions Server Configuration Session Fixation SQL Injection Time and State Untrusted Initialization Untrusted Search Path |
This step applies only to Custom Activities. For other types of submissions such as those where UiPath workflows and projects are used, this analysis is part of the functionality testing process at Silver level which all types of listings undergo.
Análise dinâmica de código
As listagens são verificadas quanto a comportamento malicioso no runtime.
Embora tenhamos abordado uma parte significativa dos vetores de ataque nos níveis anteriores, o estágio de verificação dinâmica garante uma abordagem robusta para uma listagem segura.
Por exemplo, alguns dos comportamentos de runtime analisados podem incluir:
- Análise de memória – Monitoramento de comportamentos suspeitas;
- Análise de tráfego – Monitoramento de conexões e tráfego de rede;
- Chamadas de API – Monitoramento de chamadas do sistema operacional potencialmente perigoso ou acesso a certas APIs.
Portanto, ao adicionar a etapa de verificação dinâmica e associá-la às verificações estáticas anteriores, garantimos que as listagens certificadas passaram pela verificação de segurança de nível empresarial mais recente.
Teste de intrusão (somente para atividades personalizadas)
Nossa equipe interna de testes de intrusão realizará um teste de intrusão aprofundado, além de inspecionar manualmente o código-fonte, o pacote e outros artefatos da listagem.
Ao fazer os Pentesters do UiPath combinar os resultados de todas as etapas anteriores com o processo de teste de penetração, garantimos o mais alto nível de proteção contra diferentes vetores de ataque.