- 发行说明
- 概述
- 入门指南
- UiPath 市场供应商
- UiPath Marketplace 客户
- 发布准则
- 即用型自动化发布准则
- 安全性与 IP 保护
- 其他 UiPath 列表
- 连接器
- 如何创建活动
- 构建集成
金牌认证
这包括银牌认证级别的所有内容、安全性和功能要求。 此外,列表需要通过下面列出的每个要求。 如果任何步骤存在问题,则 UiPath 市场合作伙伴需要修复这些问题并解释任何可能的差异。
满足所有要求后,列表将获得金牌认证徽章,该徽章将在列表页面上可见。
获得此级别认证所需的必要时间最多可能为两周。
我们会根据一系列多重防病毒引擎检查提交的内容,并确保通过深度文件分析评估和解压缩列表工件。 这与文件信誉服务集成,可为超过 80 亿个文件(包括所有文件类型)提供深入的丰富上下文和威胁分类。
此步骤可防范潜在的恶意软件和病毒。
无论列表的类型如何,列表通常都包含可能存在安全相关漏洞的依赖项。
此阶段有助于识别和解决使用第三方依赖项时经常出现的可能安全问题。
此阶段可能解决的一些问题包括:
- 一个或多个附加依赖项中存在漏洞和其他类似安全问题。
- 某些依赖项中使用的许可证类型与您为列表选择的许可证不兼容;
由于列表的安全性取决于所使用的每个依赖项的安全性,因此,如果上述任何项目存在问题,则在问题解决之前不会授予认证。
为了捕获漏洞或恶意源代码,我们还对代码运行一系列全面的静态代码检查,并在提交后构建工件。
在此阶段可以检测到各种数量的问题,如上一步所述,我们在这里查看源代码中可能存在的缺陷以及可能的漏洞。
您需要修复检测到的漏洞,以便恶意行为者不会利用可能的逻辑缺陷、不正确的数据管理、不正确的配置和其他行为。
通过此步骤,我们可确保列表免受但不限于以下威胁和标准:
- CWI 前 25 名;
- OWASP 前 10 名;
- 其他类似的行业标准和威胁模型。
在此步骤中,如果适用,将对以下内容执行安全检查:
|
项目 |
项目 |
项目 |
|---|---|---|
|
API 滥用 身份验证问题 授权问题 缓冲区管理错误 代码注入 代码质量 命令或参数注入 凭据管理 CRLF 注入 跨站点脚本 (XSS) |
加密问题 危险函数 部署配置 目录遍历 封装 错误处理 信息泄漏 不安全的依赖项 输入验证不足 记录和监控不足 |
数值错误 潜在的后门 竞争条件 服务器配置 会话固定 SQL 注入 时间和状态 不受信任的初始化 不受信任的搜索路径 |
在运行时检查列表是否存在恶意行为。
即使在前面的级别中,我们涵盖了大部分攻击媒介,但动态扫描阶段仍可确保以可靠的方法获得安全列表。
例如,一些分析的运行时行为可能包括:
- 内存分析 – 监控可疑行为;
- 流量分析 – 监控连接和网络流量;
- API 调用 – 监控有潜在危险的操作系统调用或访问某些 API。
因此,通过添加动态扫描步骤并将其与之前的静态扫描结合使用,我们可以确保认证列表已经过最新的企业级安全验证。
