この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

ISVforce ガイド

『ISVforce ガイド』へようこそ
ISVforce クイックスタート
AppExchange でのビジネスの成長
ソリューションの設計と作成
ソリューションのパッケージ化とテスト
AppExchange セキュリティレビューの合格
AppExchange でのソリューションの公開
AppExchange とは?
AppExchange リストのビジネスプラン
精査およびコンプライアンス証明書の申請
AppExchange での公開
パッケージ化する組織を AppExchange へ接続する
プロバイダプロファイルの作成または編集
AppExchange リストを作成または編集する
AppExchange リストにビジネスプランを追加する
効果的な AppExchange リストにする
インストールオプションの選択
パッケージを登録しライセンス設定を選択する
セキュリティレビューサイクルの完了
セキュリティレビューの申請に必要なデータ
セキュリティレビューと AppExchange 掲載の料金
クレジットカード情報の更新
ソリューションのセキュリティレビューの申請
セキュリティレビューの結果に基づく行動
ソリューションのフォローアップレビューの申請
新しいパッケージバージョンのフォローアップレビューの申請
外部コードまたは API 限定ソリューションのフォローアップレビューの申請
AppExchange でのソリューションの公開
定期的な再レビュー
メール通知
AppExchange リードの収集
公開者向け分析レポート
AppExchange リストでのパッケージの更新
FAQ - AppExchange
Checkout を使用した AppExchange での販売
AppExchange パートナーの Analytics によるパフォーマンスの監視
注文の管理
ライセンスの管理
機能の管理
ソリューションの無料トライアルの提供
AppExchange 顧客のサポート
ソリューションの更新
付録
用語集
PDF

ソリューションのフォローアップレビューの申請

ソリューションのセキュリティレビューが完了しましたが、製品セキュリティチームがセキュリティの脆弱性を見つけました。ソリューションは、AppExchange での配布が承認されていません。望んでいた結果ではありませんでしたが、あなたに限ったことではなく、ほとんどのソリューションは 1 回で合格することはありません。脆弱性を修正し、更新されたスキャンレポートを生成し、ソリューションのフォローレビューを申請してください。
合格しなかったソリューションのセキュリティレビューレポートには、製品セキュリティチームが見つけたセキュリティの脆弱性の種類が表示されます。脆弱性の各種類について、レポートには以下の情報が含まれます。
  • ソリューションから見つかった具体的な例。
  • 問題を再現する手順。
  • 問題の修正方法に関するドキュメントへのリンクまたはコメント。

Salesforce の目標はできるだけ多くの異なる種類の脆弱性を見つけることですが、セキュリティレビューはブラックボックスのテストであり、時間が制限されているプロセスであることに留意してください。セキュリティの脆弱性のすべての事例を挙げることができるとは限らず、すべての問題の種類を最初に検出できない場合があります。セキュリティレビューの結果は、修正する必要のある問題の種類の代表例として考えてください。レポートに特に記載がない限り、ソリューション全体に関して、すべてのクラスの問題を修正する必要があります。

Salesforce が、検出事項の分析とセキュリティ脆弱性のトラブルシューティングをお手伝いします。Partner Security Portal で、テクニカルオフィスアワーの予定をスケジュールしてください。

ソリューションを改正するときには、前回のレビューで見つかったセキュリティ問題のみを修正し、既存のパッケージのコードを修正します。その他の修正 (機能変更など) を行った場合は、変更されたソリューションの最初のセキュリティレビューを申請する必要があります。修正したコードで新しいパッケージを作成した場合も同様です。

パッケージ ID と名前空間が変更されなければ、再申請はフォローアップレビューを受けることができます。

重要

ソリューションを修正した後、フォローアップレビューを行うために必要なデータを集めます。改正したソリューションで必須のスキャナツールを再実行し、更新されたスキャンレポートを生成します。管理パッケージでの問題を修正した場合は、更新されたソーススキャナ結果を提出します。外部エンドポイントで検出された問題を修正した場合は、更新された ZAP または Chimera スキャンレポートを提出します。該当する場合は、偽陽性への対応を文書化します。

提出するデータについての詳細は、「セキュリティレビューの申請に必要なデータ」を参照してください。

フォローアップレビューを依頼するプロセスは、変更の範囲に応じて異なります。

  • 新しいパッケージバージョン: Salesforce Platform で実行されるコードを修正した場合は、管理パッケージの新しいバージョンを作成して AppExchange リストにアップロードします。その後、新しいバージョンのレビューを開始します。パッケージ外の変更も行った場合は、セキュリティレビューウィザードでそれらの変更の詳細を提供する準備をしておきます。
  • 外部コードまたは API 限定ソリューション: Salesforce の外部で実行されるコードのみを変更した場合は、既存のセキュリティレビュー申請を編集します。セキュリティレビューウィザードで変更の詳細を提供します。セキュリティレビューのケースを登録し、製品セキュリティチームにソリューションを再申請することを知らせます。