ISVforce ガイド
jセキュリティレビューの異常レポートの偽陽性への対応例
次の例は、Salesforce セキュリティレビューの異常レポートにリストされた偽陽性への対応をドキュメント化する方法を示しています。これは、再テストの送信をサポートするために記載されています。
| 報告された脆弱性 | 場所 | 返答 |
|---|---|---|
| ソフトウェアバージョンが安全でない | jQueries | 更新されました。 |
| ソフトウェアバージョンが安全でない | moment.js | moment 解析に入力されるユーザ入力がありません。ユーザ入力は、Salesforce データ項目にのみ入力されます。 |
| 機密データストレージが安全でない | UserConfig_c.object | apiKey__c 項目は、暗号化鍵を使用して、設定前に暗号化されます。暗号化鍵は、保護されたカスタム設定に保存されています。 |
| 機密データストレージが安全でない | IssueInvite_c.object | password__c 項目は、リソースをインターネットと公に共有するためにサポートエージェントが選択したパスワードです。ユーザが所有する秘密ではありません。 |
| 機密データストレージが安全でない | APIManagement_c.object | このカスタム設定は非推奨にしましたが、カスタム設定の定義を管理パッケージから削除することはできません。 |
| 機密データストレージが安全でない | AuthManager.cls | コメント内のログイン情報は、例にすぎません。どの開発システムや本番システムに対しても認証されません。 |
| 保存された XSS | https://content.saslesforce.partner.com | 2020 年 2 月 1 日の勤務時間中に、Salesforce の Jane Doe と話しました。この URL は機密でないコンテンツドメインにリンクされています。この URL には、バックエンド情報にアクセスするためのセッションデータはありません。この結果が偽陽性になる場合があるということを言われました。 |