この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

ISVforce ガイド

『ISVforce ガイド』へようこそ
ISVforce クイックスタート
AppExchange でのビジネスの成長
ソリューションの設計と作成
ソリューションのパッケージ化とテスト
AppExchange セキュリティレビューの合格
AppExchange セキュリティレビュー
AppExchange セキュリティレビューのしくみ
Partner Security Portal
ソリューション全体のテスト
偽陽性
セキュリティレビューリソース
AppExchange でのソリューションの公開
Checkout を使用した AppExchange での販売
AppExchange パートナーの Analytics によるパフォーマンスの監視
注文の管理
管理パッケージへのライセンスの管理
第一世代管理パッケージの機能の管理
ソリューションの無料トライアルの提供
AppExchange 顧客のサポート
ソリューションの更新
付録
用語集
PDF

ソリューション全体のテスト

手動テストおよび自動セキュリティスキャナツールを使用して、ソリューションの全範囲をテストします。セキュリティスキャンを実行するときには、Salesforce Platform と独立して動作する外部エンドポイントをすべて含めます。セキュリティ違反の偽陽性を記録し、Salesforce のセキュリティガイドラインを満たさないコードをすべて修正します。

テスト範囲

セキュリティレビューを申請するソリューションのあらゆる部分をテストします。Salesforce Platform でホストされないエンドポイントも含めて、ソリューションのアーキテクチャがセキュアであることを確認します。ソリューションのあらゆるコンポーネントとレイヤに注意することで、ハッカーや不正ソフトウェアによって潜在的なエントリポイントが悪用されるリスクを最小限に抑えることができます。

ソリューションの全範囲がセキュリティレビューテストの対象となります。たとえば、Salesforce は、Development Edition テスト組織を攻撃し、機密データへのアクセスや虚偽のログイン情報を使用した認証を試みる侵入テストを実行することができます。

テスト範囲を判断するために、データをフォローする手法を用います。ユーザやデータがアクセスする部分がすべて範囲に含まれます。たとえば、お客様である Salesforce ユーザがあなたの会社の Web サイトにログインする必要がある、またはデータがサードパーティのサーバに同期されるとします。これらの部分をテストし、ログイン情報とデータが安全に転送されることを確認します。

次の条件のいずれかに当てはまる場合、外部エンドポイントはセキュリティレビューの範囲に含まれ、セキュリティテストの必須部分となります。
  • エンドポイントは、ソリューションの購入、サポート、または使用の一環としてエンドユーザの認証で役割を果たします。この定義には、ログイン情報の手動入力が不要の接続アプリケーションも含まれます。
  • Salesforce データはエンドポイントへ、またはエンドポイントから転送されません。

自分が所有していない外部エンドポイントでセキュリティテストを実行するには、次の 2 つが必要です。まず、外部エンドポイントを所有しているサードパーティから、セキュリティテストを実行するために必要な権限を取得すること、次に、「許可すべき Salesforce の IP アドレスとドメイン」のガイドラインに従うことです。

重要

自動スキャンツール

ソリューションとエンドポイントのセキュリティの脆弱性を特定するために、特定の自動セキュリティスキャンツールを実行する必要があります。

開発ライフサイクルを通して、コードおよび接続しているエンドポイントでセキュリティスキャンを実行することを強くお勧めします。セキュリティの脆弱性が山積みとなり、後で行う作業を増やさないために、開発中には定期的にスキャンを実行して検出された問題を修正してください。

ヒント

Partner Security Portal では、Salesforce でサポートされる Source Code Scanner (Checkmarx スキャナとも呼ばれる) と Chimera スキャナという 2 つのセキュリティスキャナにアクセスできます。Partner Security Portal にはないスキャナを (必要に応じて) 使用することもできます。

この表には、必須または推奨する自動セキュリティスキャナツールがまとめられています。

セキュリティスキャナツール スキャン対象 考慮事項 申請時に結果を提出 Partner Security Portal でホスト
Source Code Scanner (Checkmarx) Apex、Visualforce、Lightning コード
  • この静的スキャンツールは Checkmarx のセキュリティ技術を使用しています。
  • Salesforce パッケージまたはコンポーネントを含むセキュリティレビューを申請するときは、必ず Checkmarx スキャンを実行する必要があります。このスキャンは、モバイルクライアントや API ソリューションには必要ありません。
  • Source Code Scanner は、セキュリティレビュー手数料を支払ったソリューションバージョンにつき 3 回まで実行できます。
  • パッケージ化されていないコードのスキャン、または 3 回までのスキャン制限やパッケージリンク要件を回避する柔軟性と自由が必要な場合は、Checkmarx からライセンスを購入してください。
 はい はい
PMD Source Code Analyzer Apex コード
  • PMD スキャナは無料のオープンソースツールです。
  • このツールは、Apex コードを含むソリューションで Source Code Scanner の代わりに使用できます。
  • セキュリティレビューに備えて、また Source Code Scanner の補足としてソリューションを準備するときは、PMD スキャンを回数の制限なく実行します。
  • 通常、PMD では偽陽性が Source Code Scanner ツールよりも多く報告されます。
 いいえ いいえ
Salesforce CLI スキャナプラグイン Apex、JavaScript、Lightning、TypeScript、および Visualforce コード
  • Salesforce CLI スキャナプラグインは、ESLint、JavaScript、PMD、Retire JS という複数の静的なスキャンツールを 1 つの Salesforce CLI プラグインに統合して、簡単にインストールできるようにしたものです。
  • CLI スキャナプラグインは、ローカル開発マシンにインストールすることも、継続的インテグレーション (CI) プロセスに統合することもできます。
  • Lightning Web コンポーネント JavaScript をスキャンするためのカスタマイズされたルールが含まれます。
  • 外部エンドポイントはスキャンしません。
  • CLI スキャナプラグインは、csv、html、json、junit という複数の出力形式に対応しています。
 いいえ いいえ
Chimera 自分が所有しているドメインの外部エンドポイント
  • Chimera は、ソリューションの外部エンドポイントをチェックします。
  • Chimera は、Salesforce IP アドレスからソリューションをスキャンします。
  • このスキャナはダウンロードは不要です。
  • 外部サーバのルートにトークンをアップロードする必要があるため、自分が所有していないドメインのエンドポイントで Chimera を使用できます。
  • ソリューションが自分が所有していない外部エンドポイントに接続する場合は、OWASP ZAP または Burp Suite を使用します。
 はい はい
OWASP Zed Attack Proxy (ZAP) 外部エンドポイント
  • ZAP スキャナは、Web アプリケーションセキュリティテスト用の無料のコミュニティ主導プロキシです。
  • Zap はダウンロードが必要です。
  • 「Setting Up ZAP for Browser (ブラウザ用 ZAP の設定)」に、このツールを使用したセキュリティスキャンの開始についての指標があります。
 はい いいえ
Burp Suite 外部エンドポイント
  • Salesforce では、セキュリティレビューに使用する Burp Suite ライセンスを提供していません。ライセンスは各自で購入してください。
  • Burp Suite はダウンロードが必要です。
 はい いいえ