セキュリティレビューのステップ

セキュリティレビュープロセスの手順は、次のとおりです。

1. セキュリティレビューに向けて準備をします。
   • この章のセキュリティガイドラインの内容を確認します。
   • 「Secure Cloud Development (安全なクラウド開発)」サイトに掲載されている無料のリソースを確認します。
   • 準備のヒントについては、セキュリティレビューに関する Web セミナービデオを確認します。
   • 「Requirements Checklist」を確認します。
   • 「OWASP Top Ten Checklist」を確認します。
   • Force.com プラットフォームで開発されたコードに対する、無料のセルフサービスソースコード分析を実行します。
   • Force.com と統合する外部の Web アプリケーションに対し、無料の Web アプリケーションスキャンを実行します。
   • ツールで見つからないレビュー要件を満たしていることを確認するために、アプリケーションを手動でテストします。詳細は、『OWASP Testing Guide』を参照してください。
   • テスト中に見つかった問題を修正します。

   多くの場合、準備不足によって承認が遅れる可能性があるため、テストは可能な限り徹底的に行います。たとえば、アプリケーションの開発段階でコードスキャナを複数回実行する必要が生じ、後の段階で問題の修正に多くの時間を割けなくなることがあります。この件についてさらに質問がある場合は、セキュリティレビューチーム (http://security.force.com/security/contact/ohours) にお問い合わせいただく時間をお申し込みください。

2. セキュリティレビューを開始します。
   1. APO のログイン情報を使用して AppExchange にログインします。
   2. 右上にある自分の名前をクリックし、ドロップダウンメニューから [Publishing Console (コンソールの公開)] を選択します。
   3. [Offering (提供内容)] タブをクリックします。
   4. これらの 2 つのオプション��ら、アプリケーションに適したほうを選択します。
      • Your application is a package (entirely or in part) (アプリケーションはパッケージです (全部または一部))
      • Your application is not a package and only uses the Salesforce API (アプリケーションはパッケージではなく Salesforce API のみを使用します)
   5. [保存] をクリックします。
   6. アプリケーションの [Start Review (レビューを開始)] をクリックします。セキュリティレビューの更新の時期にある既存のアプリケーションの場合は、パートナーコミュニティでケースを登録します。
   7. アプリケーションごとに、セキュリティチェックリストと質問表に記入します。完全に設定済みのテストアカウントをレビューチームに提供し、配信組織へのログインアクセスを許可します。
   8. サービスのテスト環境とドキュメントを提供し、年間掲載料を支払うように求められます。

   レビューチームはテストを実行してコード内の潜在的な脆弱性を特定します。また、必要な場合はフォローアップのために連絡させていただく場合があります。レビューチームがアプリケーションとネットワークの両方のセキュリティテストを実行し、結果を報告します。

3. 結果を確認します。結果は、次の 3 種類のいずれかになります。
   • 承認済み: ただちに AppExchange でアプリケーションを公開できます。Professional Edition アカウントにアクセスする API トークンが提供される場合があります。資格要件を含む、パートナープログラムの詳細は、www.salesforce.com/partners を参照してください。
   • 暫定的承認: 低リスクまたは中リスクの特定の問題が発見されました。この問題はかなり簡単に対処することができ、salesforce.com またはその顧客に対し深刻なリスクはもたらしません。AppExchange でアプリケーションの公開リストを作成することが許可されます。ただし、指定された期間内に問題を解決できなければ、AppExchange からアプリケーションが削除されます。Professional Edition アカウントにアクセスする API トークンが提供される場合があります。
   • 不承認: テスト段階で高リスクの問題が特定されました。すべての問題に対処し、AppExchange セキュリティチームによって確認されるまで、AppExchange でアプリケーションを公開することは許可されません。AppExchange でアプリケーションを公開済みの場合は、60 日以内に問題に対処する必要があります。Professional Edition アカウントにアクセスするための API トークンは付与されません。

セキュリティレビュー合格後の重要な手順

セキュリティレビューに合格すると、次を行えるようになります。

• AppExchange でのアプリケーションの公開
• API トークンの申請