- Notas de Versão
- Visão geral
- Introdução
- Fornecedores do Marketplace
- Clientes do Marketplace
- Diretrizes de publicação
- Diretrizes de publicação para automações prontas para execução
- Diretrizes de publicação para aceleradores de soluções
- Diretrizes de publicação para conectores do Integration Service
- Segurança e Proteção de IP
- Outras listagens da UiPath
- Node-RED
- Configuração
- Teams
- Escopo do Microsoft Teams
- Criar Equipe
- Create Team from Group
- Obter equipe
- Obter equipes
- Canais
- Criar canal
- Excluir canal
- Obter canal
- Obter canais
- Canal de Atualização
- Chats
- Obter chat
- Obter chats
- Obter membros do chat
- Mensagens
- Get message
- Get Messages
- Obter respostas de mensagem
- Reply To Message
- Enviar mensagem
- Events
- Create Event
- Delete Event
- Obter evento
- Obter eventos
- Usuários
- Obter presença do usuário
- Como funciona
- Referências técnicas
- Introdução
- Sobre
- Configuração
- Referências técnicas
- Escopo do reconhecedor de formulário do Azure
- Atividades
- Analisar Formulário
- Analisar Formulário Assíncrono
- Obter resultado do formulário de análise
- Analisar Recebimento
- Analisar Recebimento Assíncrono
- Obter resultado de recibo de análise
- Analisar Layout
- Analisar Layout Assíncrono
- Obter resultado de layout de análise
- Treinar Modelo
- Obter modelos
- Obter chaves de modelo
- Obter informações do modelo
- Excluir modelo
- Conectores
- Como criar atividades
- Crie sua integração
Guia do usuário do Marketplace
Certificado de Ouro
Isso inclui todos os requisitos de conteúdo, segurança e funcionalidade do nível do Certificado Silver. Além disso, a listagem precisa ser aprovada em cada um dos requisitos listados abaixo. Caso haja problemas em alguma das etapas, o Parceiro do Marketplace deverá corrigi-los e explicar as possíveis discrepâncias.
Assim que todos os requisitos forem atendidos, a listagem receberá o selo da Certificação de Ouro, que ficará visível na página da listagem.
O tempo necessário para obter esse nível de certificação é de até duas semanas adicionais.
Verificamos o envio com uma série de vários mecanismos de antivírus e asseguramos que os artefatos da listagem sejam avaliados e desempacotados por meio de uma análise detalhada dos arquivos. Isso é integrado aos serviços de notação de arquivos para fornecer contexto avançado e classificação de ameaças em profundidade em mais de 8 milhões de arquivos, incluindo todos os tipos de arquivos.
Essa etapa oferece proteção contra possíveis malwares e vírus.
Independentemente do tipo de listagem, ela geralmente contém dependências que podem ter vulnerabilidades relacionadas à segurança.
Esse estágio ajuda a identificar e resolver possíveis problemas de segurança que costumam surgir ao usar dependências de terceiros.
Alguns dos possíveis problemas que podem ser resolvidos nessa etapa incluem:
- Vulnerabilidades e outros problemas de segurança semelhantes presentes em uma ou mais dependências anexadas.
- A incompatibilidade entre o tipo de licença usado em algumas das dependências e a licença selecionada por você para a listagem;
Como a segurança da listagem depende da segurança de cada dependência usada, caso haja problemas com algum dos itens acima, a certificação não será concedida até que todos sejam resolvidos.
Para detectar vulnerabilidades ou códigos-fonte mal-intencionados, também executamos uma série abrangente de verificações de código estático no código e criamos artefatos por trás do envio.
É possível detectar vários problemas nesta fase. Como mencionado na etapa anterior, examinamos aqui as falhas que podem estar presentes no código-fonte, bem como as possíveis vulnerabilidades.
As vulnerabilidades detectadas precisarão ser corrigidas por você para que possíveis falhas de lógica, gerenciamento de dados incorreto, configurações incorretas e outros comportamentos não sejam explorados por um agente mal-intencionado.
Por meio dessa etapa, garantimos que as listagens estejam protegidas contra as ameaças e padrões a seguir, entre outras:
- Os 25 principais da CWE;
- Os 10 Principais OWASP;
- Outros padrões do setor e modelos de ameaças semelhantes.
Durante esta etapa, serão realizadas verificações de segurança, quando aplicável, para o seguinte:
Item |
Item |
Item |
---|---|---|
Abuso de API Problemas de autenticação Problemas de autorização Erros de gerenciamento de buffer Injeção de Código Qualidade do Código Injeção de Comando ou Argumento Gerenciamento de credenciais Injeção de CRLF Scripting Intersite (XSS) |
Problemas criptográficos Funções perigosos Configuração da implantação Traslado do Diretório Encapsulamento Tratamento de Erro Fuga de Informações Dependências Não Seguras Validação de entrada insuficiente Registro em Log e Monitoramento Insuficientes |
Erros numéricos Backdoor em potencial Condições da corrida Configuração do Servidor Fixação de sessão Injeção de SQL Hora e Estado Inicialização Não Confiável Caminho de Pesquisa Não Confiável |
As listagens são verificadas quanto a comportamento malicioso no runtime.
Embora tenhamos abordado uma parte significativa dos vetores de ataque nos níveis anteriores, o estágio de verificação dinâmica garante uma abordagem robusta para uma listagem segura.
Por exemplo, alguns dos comportamentos de runtime analisados podem incluir:
- Análise de memória – Monitoramento de comportamentos suspeitas;
- Análise de tráfego – Monitoramento de conexões e tráfego de rede;
- Chamadas de API – Monitoramento de chamadas do sistema operacional potencialmente perigoso ou acesso a certas APIs.
Portanto, ao adicionar a etapa de verificação dinâmica e associá-la às verificações estáticas anteriores, garantimos que as listagens certificadas passaram pela verificação de segurança de nível empresarial mais recente.
Nossa equipe interna de testes de intrusão realizará um teste de intrusão aprofundado, além de inspecionar manualmente o código-fonte, o pacote e outros artefatos da listagem.
Ao fazer os Pentesters do UiPath combinar os resultados de todas as etapas anteriores com o processo de teste de penetração, garantimos o mais alto nível de proteção contra diferentes vetores de ataque.