この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

ISVforce ガイド

『ISVforce ガイド』へようこそ
ISVforce クイックスタート
AppExchange でのビジネスの成長
ソリューションの設計と作成
セキュアなソリューションの作成
セキュアなコーディングのガイドラインのよくある違反の防止
サードパーティエンドポイントからの JavaScript ファイルの読み込み
Lightning コンポーネントでのサードパーティ CSS の読み込み
CSS 外部コンポーネントの使用
Salesforce ドメインでの JavaScript の実行
デバッグ時の秘密データの露出
安全ではない方法による機密データの保存
既知の脆弱性があるソフトウェアの使用
本番でのサンプルコードの使用
オブジェクトレベルおよび項目レベルのアクセス設定のスキップ
Apex での共有ルールのスキップ
データベースクエリ構造が安全でないことが原因の SOQL インジェクション
クロスサイトリクエストフォージェリ
オープンリダイレクト
Lightning LockerService の無効化
Lightning コンポーネントでの不十分なエスケープ
コンポーネントの非同期コード
パッケージの概要
管理パッケージで使用可能なコンポーネント
パッケ���ジの API アクセスおよびダイナミック Apex アクセスについて
Group Edition と Professional Edition のアーキテクチャ上の考慮事項
接続アプリケーション
環境ハブ
開発者ハブ
パッケージエラーの通知
ソリューションのパッケージ化とテスト
AppExchange セキュリティレビューの合格
AppExchange でのソリューションの公開
Checkout を使用した AppExchange での販売
AppExchange パートナーの Analytics によるパフォーマンスの監視
注文の管理
管理パッケージへのライセンスの管理
第一世代管理パッケージの機能の管理
ソリューションの無料トライアルの提供
ソリューションの更新
付録
用語集
PDF

安全ではない方法による機密データの保存

Salesforce Platform からデータをエクスポートする場合、およびプラットフォームに秘密データを保存する場合は、企業のセキュリティ標準に従います。

機密データを安全に保存しないと、ハッカーが多くの方法で脅威を与えることができます。たとえば、API キーを把握することになっている人物は、組織のシステム管理者に限定されています。ハッカーは、暴いた鍵を使用して、データを管理チャネル経由でリモートエンドポイントに送信できます。

Salesforce は、ソリューションで生じたデータへの脅威を深刻に受け止めています。ソリューションの脆弱性によってデータの侵害や消失が発生すれば、ユーザと Salesforce の関係に支障をきたすことになります。

次の場合は、「Storing Sensitive Data (機密データの保存)」に記載されている企業の標準に従ってください。
  • Salesforce Platform から顧客データをエクスポートする。
  • 暗号鍵、セッション ID、パスワードなどの秘密を Salesforce Platform に保存する。

メタデータの例

この例のメタデータは、カスタムオブジェクトを表しています。このカスタムオブジェクト定義は、API キー項目の <visibility> タグが Public に設定されているため安全ではありません。この項目は、プレーンテキストで表示できます。

API キーなどの秘密をカスタムオブジェクトに保存するときは、秘密を暗号化します。暗号鍵は、保護されたカスタム設定、または保護されたカスタムメタデータ API 項目に別途保存してください。