- 发行说明
- 概述
- 入门指南
- UiPath 市场供应商
- UiPath Marketplace 客户
- 发布准则
- 即用型自动化发布准则
- 解决方案加速器发布准则
- Integration Service 连接器的发布准则
- Process Mining 应用程序模板发布准则
- 安全性与 IP 保护
- 其他 UiPath 列表
- 连接器
- 如何创建活动
- 构建集成
Marketplace 用户指南
这包括银牌认证级别的所有内容、安全性和功能要求。 此外,列表需要通过下面列出的每个要求。 如果任何步骤存在问题,则 UiPath 市场合作伙伴需要修复这些问题并解释任何可能的差异。
满足所有要求后,列表将获得金牌认证徽章,该徽章将在列表页面上可见。
获得此级别认证所需的必要时间最多可能为两周。
恶意软件分析
我们会根据一系列多重防病毒引擎检查提交的内容,并确保通过深度文件分析评估和解压缩列表工件。 这与文件信誉服务集成,可为超过 80 亿个文件(包括所有文件类型)提供深入的丰富上下文和威胁分类。
此步骤可防范潜在的恶意软件和病毒。
第三方依赖项中的漏洞
无论列表的类型如何,列表通常都包含可能存在安全相关漏洞的依赖项。
此阶段有助于识别和解决使用第三方依赖项时经常出现的可能安全问题。
此阶段可能解决的一些问题包括:
- 一个或多个附加依赖项中存在漏洞和其他类似安全问题。
- 某些依赖项中使用的许可证类型与您为列表选择的许可证不兼容;
由于列表的安全性取决于所使用的每个依赖项的安全性,因此,如果上述任何项目存在问题,则在问题解决之前不会授予认证。
静态代码分析
为了捕获漏洞或恶意源代码,我们还对代码运行一系列全面的静态代码检查,并在提交后构建工件。
在此阶段可以检测到各种数量的问题,如上一步所述,我们在这里查看源代码中可能存在的缺陷以及可能的漏洞。
您需要修复检测到的漏洞,以便恶意行为者不会利用可能的逻辑缺陷、不正确的数据管理、不正确的配置和其他行为。
通过此步骤,我们可确保列表免受但不限于以下威胁和标准:
- CWE Top 25;
- OWASP Top 10;
- 其他类似的行业标准和威胁模型。
在此步骤中,如果适用,将对以下内容执行安全检查:
| 项目 | 项目 | 项目 |
|---|---|---|
| API 滥用身份验证问题授权问题缓冲区管理错误代码注入代码质量命令或参数注入凭据管理 CRLF 注入跨站脚本 (XSS) | 加密问题危险功能部署配置目录遍历封装错误处理信息泄漏不安全依赖项输入验证不充分日志记录和监控不足 | 数字错误潜在后门竞争条件服务器配置会话固定 SQL 注入时间和状态不信任初始化不信任搜索路径 |
This step applies only to Custom Activities. For other types of submissions such as those where UiPath workflows and projects are used, this analysis is part of the functionality testing process at Silver level which all types of listings undergo.
动态代码分析
在运行时检查列表是否存在恶意行为。
即使在前面的级别中,我们涵盖了大部分攻击媒介,但动态扫描阶段仍可确保以可靠的方法获得安全列表。
例如,一些分析的运行时行为可能包括:
- 内存分析 – 监控可疑行为;
- 流量分析 – 监控连接和网络流量;
- API 调用 – 监控有潜在危险的操作系统调用或访问某些 API。
因此,通过添加动态扫描步骤并将其与之前的静态扫描结合使用,我们可以确保认证列表已经过最新的企业级安全验证。
渗透测试(仅适用于自定义活动)
我们内部的渗透测试员团队将进行深入渗透测试,并手动检查源代码、包和其他列表工件。
通过让 UiPath 渗透测试者将之前所有阶段的结果与渗透测试流程相结合,我们可以确保针对不同的攻击媒介提供最高级别的保护。