ポータルのセキュリティスキャナ
セキュリティの脆弱性を特定するために、ソリューションおよび Salesforce Platform と独立して動作するすべての外部エンドポイントに対してセキュリティスキャンツールを実行する必要があります。Partner Security Portal では、Salesforce が推奨する Source Code Scanner (Checkmarx) と Chimera という 2 つのスキャナがホストされています。
| 必要なユーザ権限 | |
|---|---|
| Partner Security Portal で Source Code Scanner (Checkmarx) にアクセスする | 「Apex 開発」 |
Partner Security Portal では、Salesforce でサポートされる Source Code Scanner (Checkmarx スキャナとも呼ばれる) と Chimera スキャナサービスという 2 つのスキャナにアクセスできます。
Source Code Scanner (Checkmarx) は Apex、Visualforce、Lightning コードをチェックしますが、ソリューションの外部エンドポイントはチェックしません。
Chimera は外部エンドポイントをチェックしますが、開発者が外部サーバのルートにトークンをアップロードする必要があります。ソリューションが自分が所有しているドメインのエンドポイントに接続する場合は、Chimera を使用できます。ソリューションが自分が所有していないドメインのエンドポイントに接続する場合は、トークンをアップロードできず、Chimera は使用できません。代替ツールを使用してくだ���い。たとえば、無料の OWASP Zed Attack Proxy (ZAP) スキャナをダウンロードするか、Burp Suite のライセンスを購入してください。
ソリューション (モバイルクライアントおよび API ソリューションを除く) を送信する直前に、Partner Security Portal で Source Code Scanner を実行します。ソリューションが Salesforce 以外のドメインに接続する場合は、外部エンドポイントで Chimera、OWASP ZAP、または Burp Suite も実行します。ソリューションのセキュリティレビューを申請するときに、スキャンのレポートを含めます。
| セキュリティスキャナ | スキャン対象 | 考慮事項 |
|---|---|---|
| Source Code Scanner (Checkmarx) | Apex、Visualforce、Lightning コード |
|
| Chimera | 自分が所有しているドメインの外部エンドポイント |
|