ISVforce ガイド
jセキュリティレビューの申請に必要なデータ
セキュリティレビューのテストでは、ソリューションで使用されるすべての環境、パッケージ、および外部コンポーネントにアクセスする必要があります。当社では、ソリューションが企業のセキュリティ標準を満たしていることを確かめるときに、精査が実施されていることを確認したいと考えています。セキュリティスキャンレポートと、テスト結果に偽陽性が現れている場合はその説明を必ず含めてください。
次の表は、アーキテクチャの範囲に基づいて申請するデータをまとめたものです。ソリューションに応じてカスタマイズされたチェックリストを生成するには、セキュリティレビュー申請要件チェックリストビルダーを使用してください。
| 申請データ | Salesforce ネイティブソリューション | Lightning コンポーネントを使用する Salesforce ネイティブソリューション | 外部の Web アプリケーションまたはサービスを使用するソリューション | モバイルクライアントを使用するソリューション | API のみ | Marketing Cloud アプリケーション |
|---|---|---|---|---|---|---|
| Salesforce Developer Edition 組織 | X | X | X | X | X | |
| 認証が必要な外部コンポーネントの URL およびログイン情報 | X | X | X | |||
| Developer Edition 組織にインストールされる管理パッケージ | X | X | X | X | ||
| Checkmarx レポート | X | X | X | X | ||
| Zap または Chimera スキャンレポート | X | X | X | X | ||
| 偽陽性に関するドキュメント (該当する場合) | X | X | X | X | X | X |
| 商品に関するドキュメント | X | X | X | X | X | |
| インストールリンクまたはファイルがあるプラットフォーム | X | |||||
| Marketing Cloud 環境へのログイン情報 | X |
モバイルアプリケーション
モバイルアプリケーションのテストの場合は、配布予定のすべてのプラットフォーム向けのアプリケーションを提供します。iOS のテストリリース、個別リリースに対応します。その他のプラットフォームでは、ファイルのアプリケーションに対応します (Android パッケージング (.apk) ファイルなど)。
拡張パッケージ
拡張パッケージには、アプリケーションのアドオンであるパッケージと、異なる ISV がリリースした 2 つのアプリケーションの機能を統合するパッケージがあります。拡張パッケージは、AppExchange で公開する前に、セキュリティレビューに合格する必要があります。
拡張パッケージの申請要件は、類似のアーキテクチャを持つアプリケーションの場合と同じです。たとえば、拡張パッケージで外部コールアウトが使用される場合は、そのコールアウトを使用する特定のパッケージの Web スキャン結果を個々に添付します。
Salesforce セキュリティチームによってすべての拡張パッケージがレビューされることが重要です。パッケージのサイズが小さくても、プラットフォームに脆弱性を生じる可能性があります。