- Notas relacionadas
- Información general
- Primeros pasos
- Proveedores de Marketplace
- Clientes de Marketplace
- Pautas de publicación
- Directrices de publicación para automatizaciones listas para usar
- Directrices de publicación para aceleradores de soluciones
- Directrices de publicación para conectores de Integration Service
- Directrices de publicación para plantillas de aplicaciones de Process Mining
- Seguridad y protección de IP
- Otros listados de UiPath
- Node-RED
- Configuración
- Equipos
- Ámbito de Microsoft Teams
- Crear equipo
- Crear equipo a partir de un grupo
- Obtener equipo
- Obtener equipos
- Canales
- Crear canal
- Eliminar canal
- Obtener canal
- Obtener canales
- Actualizar canal
- Charlas
- Obtener chat
- Obtener chats
- Obtener miembros del chat
- Mensajes
- Obtener mensaje
- Obtener mensajes
- Obtener respuestas de mensajes
- Responder mensaje
- Enviar mensaje
- Events
- Crear Evento
- Eliminar Evento
- Obtener evento
- Obtener eventos
- Usuarios
- Obtener presencia del usuario
- Cómo funciona
- Referencias técnicas
- Comience ya
- Configuración
- Referencias técnicas
- Guías de inicio rápido
- Ámbito de Amazon
- Actividades
- Analizar documento de una sola página
- Analizar documento de varias páginas
- Iniciar análisis de documentos
- Obtener estado de análisis de documentos
- Obtener análisis de documentos
- El objeto Detalle de la página
- Cómo funciona
- Referencias técnicas
- Comience ya
- Acerca de
- Configuración
- Referencias técnicas
- Ámbito del reconocedor de formularios de Azure
- Actividades
- Analizar formulario
- Analizar formulario asíncrono
- Obtener resultado del formulario de análisis
- Analizar recibo
- Analizar recepción asíncrona
- Obtener resultado de análisis de recepción
- Analizar diseño
- Analizar diseño asíncrono
- Obtener resultado de análisis de diseño
- Entrenar modelo
- Obtener modelos
- Obtener claves de modelo
- Obtener información del modelo
- Eliminar modelo
- Conectores
- Cómo crear actividades
- Cree su integración
Guía del usuario de Marketplace
Certificado oro
Esto incluye todos los requisitos de contenido, seguridad y funcionalidad del nivel Silver Certified. Además, el listado debe cumplir cada uno de los requisitos que se enumeran a continuación. En caso de que haya problemas con cualquiera de los pasos, el socio de Marketplace deberá solucionarlos y explicar cualquier posible discrepancia.
Una vez que se cumplan todos los requisitos, el listado recibirá la insignia de oro certificado, que será visible en la página del listado.
El tiempo necesario para obtener este nivel de certificación es de hasta dos semanas adicionales.
Análisis de malware
Verificamos el envío con una serie de varios motores antivirus y nos aseguramos de que los artefactos del listado se evalúen y descompriman mediante un análisis profundo de archivos. Esto se integra con los servicios de fama de archivos para proporcionar un contexto enriquecido y clasificación de amenazas en más de 8 000 millones de archivos, incluidos todos los tipos.
Este paso ofrece protección contra posibles virus y malware.
Vulnerabilidades en dependencias de terceros
Independientemente del tipo de listado, el listado normalmente contiene dependencias que pueden tener vulnerabilidades relacionadas con la seguridad.
Esta etapa ayuda a identificar y resolver posibles problemas de seguridad que suelen surgir cuando se utilizan dependencias de terceros.
Algunos de los posibles problemas que pueden resolverse en esta etapa incluyen:
- Vulnerabilidades y otros problemas de seguridad similares presentes en una o más de las dependencias adjuntas.
- La incompatibilidad entre el tipo de licencia utilizado en algunas de las dependencias y la licencia seleccionada por usted para el listado;
Dado que la seguridad del listado depende de la seguridad de cada dependencia utilizada, en caso de que haya problemas con cualquiera de los elementos anteriores, no se otorgará la certificación hasta que se resuelvan.
Análisis de código estático
Para detectar vulnerabilidades o código fuente malicioso, también ejecutamos una serie completa de comprobaciones de código estático frente al código y creamos los artefactos tras el envío.
Hay varios problemas que se pueden detectar en esta etapa y, como se mencionó en el paso anterior, aquí observamos tanto los defectos que pueden estar presentes en el código fuente como las posibles vulnerabilidades.
Deberá corregir las vulnerabilidades detectadas para que los posibles errores de lógica, la gestión incorrecta de datos, las configuraciones incorrectas y otros comportamientos no sean aprovechados por un agente malintencionado.
A través de este paso, nos aseguramos de que los listados estén protegidos contra las siguientes amenazas y estándares:
- CWE Top 25;
- OWASP Top 10;
- Otros estándares industriales y modelos de amenazas similares.
Durante este paso se realizarán comprobaciones de seguridad, cuando corresponda, de lo siguiente:
| Elemento | Elemento | Elemento |
|---|---|---|
| API Abuse Authentication Issues Authorization Issues Buffer Management Errors Code Injection Code Quality Command or Argument Injection Credentials Management CRLF Injection Cross-Site Scripting (XSS) | Cryptographic Issues Dangerous Functions Deployment Configuration Directory Traversal Encapsulation Error Handling Information Leakage Insecure Dependencies Insufficient Input Validation Insufficient Logging & Monitoring | Numeric Errors Potential Backdoor Race Conditions Server Configuration Session Fixation SQL Injection Time and State Untrusted Initialization Untrusted Search Path |
This step applies only to Custom Activities. For other types of submissions such as those where UiPath workflows and projects are used, this analysis is part of the functionality testing process at Silver level which all types of listings undergo.
Análisis de código dinámico
Los listados se comprueban frente a comportamientos maliciosos en tiempo de ejecución.
Aunque a través de los niveles anteriores hemos cubierto una cantidad significativa de vectores de ataque, la etapa de escaneo dinámico garantiza un enfoque sólido para tener un listado seguro.
Por ejemplo, algunos de los comportamientos en tiempo de ejecución analizados pueden incluir:
- Análisis de memoria: supervisión de comportamientos sospechosos;
- Análisis de tráfico: supervisión de conexiones y tráfico de red;
- Llamadas a la API: supervisa las llamadas a sistemas operativos potencialmente dañinas o el acceso a ciertas API.
Por lo tanto, al añadir el paso de análisis dinámico y combinarlo con los análisis estáticos anteriores, nos aseguramos de que los listados certificados se hayan sometido a la verificación de seguridad de nivel empresarial más reciente.
Prueba de lápiz (solo para actividades personalizadas)
Nuestro equipo interno de Probadores de Penetración realizará una prueba de detección profunda e inspeccionará manualmente el código fuente, el paquete y otros artefactos del listado.
Al hacer que los Pentesters de UiPath combinen los resultados de todas las etapas anteriores con el proceso de prueba de intrusión, garantizamos el nivel más alto de protección contra diferentes vectores de ataque.