marketplace
latest
false
重要 :
请注意,此内容已使用机器翻译进行了本地化。
UiPath logo, featuring letters U and I in white

UiPath Marketplace 用户指南

上次更新日期 2024年9月5日

金牌认证

这包括银牌认证级别的所有内容、安全性和功能要求。 此外,列表需要通过下面列出的每个要求。 如果任何步骤存在问题,则 UiPath 市场合作伙伴需要修复这些问题并解释任何可能的差异。

满足所有要求后,列表将获得金牌认证徽章,该徽章将在列表页面上可见。

获得此级别认证所需的必要时间最多可能为两周。

恶意软件分析

我们会根据一系列多重防病毒引擎检查提交的内容,并确保通过深度文件分析评估和解压缩列表工件。 这与文件信誉服务集成,可为超过 80 亿个文件(包括所有文件类型)提供深入的丰富上下文和威胁分类。

此步骤可防范潜在的恶意软件和病毒。

第三方依赖项中的漏洞

无论列表的类型如何,列表通常都包含可能存在安全相关漏洞的依赖项。

此阶段有助于识别和解决使用第三方依赖项时经常出现的可能安全问题。

此阶段可能解决的一些问题包括:

  • 一个或多个附加依赖项中存在漏洞和其他类似安全问题。
  • 某些依赖项中使用的许可证类型与您为列表选择的许可证不兼容;

由于列表的安全性取决于所使用的每个依赖项的安全性,因此,如果上述任何项目存在问题,则在问题解决之前不会授予认证。

静态代码分析

为了捕获漏洞或恶意源代码,我们还对代码运行一系列全面的静态代码检查,并在提交后构建工件。

在此阶段可以检测到各种数量的问题,如上一步所述,我们在这里查看源代码中可能存在的缺陷以及可能的漏洞。

您需要修复检测到的漏洞,以便恶意行为者不会利用可能的逻辑缺陷、不正确的数据管理、不正确的配置和其他行为。

通过此步骤,我们可确保列表免受但不限于以下威胁和标准:

  • CWI 前 25 名
  • OWASP 前 10 名
  • 其他类似的行业标准和威胁模型。

在此步骤中,如果适用,将对以下内容执行安全检查:

项目

项目

项目

API 滥用

身份验证问题

授权问题

缓冲区管理错误

代码注入

代码质量

命令或参数注入

凭据管理

CRLF 注入

跨站点脚本 (XSS)

加密问题

危险函数

部署配置

目录遍历

封装

错误处理

信息泄漏

不安全的依赖项

输入验证不足

记录和监控不足

数值错误

潜在的后门

竞争条件

服务器配置

会话固定

SQL 注入

时间和状态

不受信任的初始化

不受信任的搜索路径

注意: 此步骤仅适用于自定义活动。 对于其他类型的提交内容,例如使用 UiPath 工作流和项目的提交内容,此分析是所有类型列表都要经历的白银级功能测试流程的一部分。

动态代码分析

在运行时检查列表是否存在恶意行为。

即使在前面的级别中,我们涵盖了大部分攻击媒介,但动态扫描阶段仍可确保以可靠的方法获得安全列表。

例如,一些分析的运行时行为可能包括:

  • 内存分析 – 监控可疑行为;
  • 流量分析 – 监控连接和网络流量;
  • API 调用 – 监控有潜在危险的操作系统调用或访问某些 API。

因此,通过添加动态扫描步骤并将其与之前的静态扫描结合使用,我们可以确保认证列表已经过最新的企业级安全验证。

渗透测试(仅适用于自定义活动)

我们内部的渗透测试员团队将进行深入渗透测试,并手动检查源代码、包和其他列表工件。

通过让 UiPath 渗透测试者将之前所有阶段的结果与渗透测试流程相结合,我们可以确保针对不同的攻击媒介提供最高级别的保护。

此页面有帮助吗?

获取您需要的帮助
了解 RPA - 自动化课程
UiPath Community 论坛
Uipath Logo White
信任与安全
© 2005-2024 UiPath。保留所有权利。