この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

ISVforce ガイド

はじめに
ISVforce クイックスタート
アプリケーションの設計と作成
アプリケーションのパッケージ化とテスト
セキュリティレビューの合格
セキュリティレビュー
セキュリティレビューステップ
セキュリティレビューウィザード
クライアントまたはモバイルアプリケーションのセキュリティレビューの申請
セキュリティレビュー用の拡張パッケージの送信
セキュリティレビューリソース
FAQ - セキュリティレビュー
AppExchange での製品の公開
注文の管理
ライセンスの管理
無料トライアルの提供
AppExchange 顧客のサポート
アプリケーションのアップグレード
付録
用語集
PDF

セキュリティレビューステップ

セキュリティ準拠に対して製品をレビューするには、次の手順に従います。

  1. セキュリティレビューに向けて準備をします。

    多くの場合、テストは可能な限り徹底的に行います。アプリケーションまたはコンポーネントの開発段階でコードスキャナを複数回実行し、最終段階で問題を解決することを避けます。この件について質問がある場合は、セキュリティレビューチーム (http://security.force.com/security/contact/ohours) にお問い合わせいただく時間をお申し込みください。

  2. セキュリティレビューを開始します。

    セキュリティレビューを開始する前に、Salesforce が製品をテストするために使用できるテスト環境を設定します。テスト環境の設定についての詳細は、「Required Testing Information for the ISV Security Review」を参照してください。

    メモ

    1. パートナーコミュニティにログインします。
    2. セキュリティレビューウィザードを開きます。
      • 製品が管理パッケージの場合、次のようにウィザードを起動します。
        1. [Publishing (公開)] ページで、[Packages (パッケージ)] タブをクリックします。
        2. 申請する製品を検索し、[Start Review (レビューを開始)] をクリックします。
      • API 限定の製品の場合、次のようにウィザードを起動します。
        1. [Publishing (公開)] ページで、[Listings (リスト)] タブをクリックします。
        2. 申請する製品を検索してクリックし、AppExchange 公開コンソールを開きます。
        3. [App (アプリケーション)] タブをクリックし、[API-only (API 限定)] オプションを選択します。
        4. [Start Security Review (セキュリティレビューを開始)] をクリックします。
    3. 残りの申請について説明されている、セキュリティレビューウィザードの各ステップに従います。
    4. これが有料製品の場合、年間掲載料と 1 回限りのセキュリティレビュー料金を支払います。アプリケーションまたはコンポーネントが無料の場合、これらの料金はかかりません。

    パッケージを申請すると、セキュリティレビューチームがテストを実行し、潜���的な脆弱性を特定します。必要に応じて、テスト結果について話し合うために連絡があります。レビューチームはアプリケーションとネットワークの両方のセキュリティテストを実行し、結果を送信します。

  3. 結果を確認します。結果は、次の 3 種類のいずれかになります。
    • 承認済み — ただちに AppExchange でアプリケーションまたはコンポーネントを公開して顧客に配布できます。
    • 暫定的合格 — セキュリティレビューチームによって、低リスクまたは中リスクの問題が発見されました。この問題は簡単に対処することができ、深刻なリスクはもたらしません。AppExchange で製品の公開リストを作成して顧客に配布できます。指定された期間内に発見された問題を解決しないと、AppExchange からアプリケーションまたはコンポーネントが削除されます。
    • 不承認 — セキュリティレビューチームによってテスト段階で高リスクの問題が特定されました。すべての問題に対処し、製品が再度レビューされるまで、AppExchange で製品を公開したり、顧客に配布したりできません。AppExchange でアプリケーションまたはコンポーネントを公開済みの場合は、60 日以内に問題に対処する必要があります。セキュリティレビューはブラックボックスのテストで、時間が制限されているプロセスであるため、発生した特定の問題のすべての事例を挙げることはできません。これらのテスト結果は、製品全体にわたって修正する必要のある問題の種類の代表例として考えてください。

セキュリティレビュー合格後の重要な手順

セキュリティレビューに合格すると、次を行えるようになります。

Salesforce は、すべての製品の定期的なレビューを実施する権利を留保します。アプリケーションまたはコンポーネントがセキュリティ要件を満たしていないことが見つかった場合は、その旨を通知し、問題を解決するための時間を猶予します。極端なケースでは、AppExchange 上で一般に表示されないようにします。この場合、製品の配布を停止する必要があります。

重要