セキュアなソリューションの作成

セキュリティエキスパートの指定

開発のすべてのフェーズでセキュリティの考慮事項を取り入れれば、ソリューションをセキュリティ脅威から保護しやすくなります。ソリューションがセキュリティガイドラインに確実に従うようにする最良の方法の 1 つは、開発チームにセキュリティエキスパートを指定することです。

そして、設計、実装、テストといった開発のすべてのフェーズで開発チーム全体がセキュリティエキスパートと連携します。セキュリティに関する検討を開発の最終フェーズまで後回しにしていると、コーディング中知らぬ間にセキュリティ違反を伝搬させてしまう可能性が高まります。

定期的なコラボレーションにより、セキュリティ違反を不要にため込むことがなくなり、AppExchange セキュリティレビュー申請に合格するための準備に手間取ることがなくなります。

セキュアな Web ソリューションの開発方法の学習

『Secure Coding Guide (セキュアなコーディングガイド)』に、Lightning プラットフォーム上に構築されたソリューションや Lightning プラットフォームと統合されたソリューションのセキュリティ違反を特定、防止、修正する方法が説明されています。ごく頻繁に生じる違反がどのようなもので、どのようなセキュリティ上のリスクを伴い、コードでそうした違反を回避するにはどうすればよいかを確認できます。

AppExchange セキュリティ要件の確認

「AppExchange Security Requirements Checklist (AppExchange セキュリティ要件チェックリスト)」は、ソリューションのセキュリティを評価するための最も包括的な情報リソースです。このチェックリストを確認すれば、技術的なセキュリティ要件の基準を認識できます。ソリューションの開発時、各自のコードに適用されるセキュリティ要件を満たします。

必ず、「AppExchange Security Requirements Checklist (AppExchange セキュリティ要件チェックリスト)」の全項目を検討してください。ソリューションに適用される要件は、さまざまなセクションに広がっている可能性があります。ただし、「Best Practices for Security (セキュリティのベストプラクティス)」セクションはすべてのソリューションに適用されます。

オープン Web アプリケーションセキュリティプロジェクト (OWASP) のガイダンスに従う

オープン Web アプリケーションセキュリティプロジェクト (OWASP) の Web サイトでは、Web アプリケーションのセキュリティリスクに関する包括的な情報が提供されていて、セキュリティ上の問題のテスト、防止、解決のための詳細なガイダンスもあります。OWASP Web サイトの主要なリソースについてよく理解しておきましょう。

ソリューションの保護のために、まずは「OWASP Top Ten Project (OWASP トップ 10 プロジェクト)」を参照することをお勧めします。OWASP サイトのこのセクションは、Web アプリケーションで発生する上位 10 種類の顕著なセキュリティリスクについてのドキュメントです。このガイドラインは、特に Salesforce Platform でホストされていない Web アプリケーションや Web サービスに関連しています。

「OWASP Secure Coding Practices Quick Reference (OWASP 安全コーディングプラクティスクイックリファレンス)」にできるだけ厳密に準拠した開発手法やセキュリティガイドラインに従うようにしましょう。