この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

ISVforce ガイド

『ISVforce ガイド』へようこそ
ISVforce クイックスタート
AppExchange でのビジネスの成長
ソリューションの設計と作成
ソリューションのパッケージ化とテスト
AppExchange セキュリティレビューの合格
AppExchange セキュリティレビュー
AppExchange セキュリティレビューのしくみ
Partner Security Portal
ソリューション全体のテスト
偽陽性
偽陽性への対応の文書化
Checkmarx スキャン結果の偽陽性への対応例
セキュリティレビューの異常レポートの偽陽性への対応例
セキュリティレビューリソース
AppExchange でのソリューションの公開
Checkout を使用した AppExchange での販売
AppExchange パートナーの Analytics によるパフォーマンスの監視
注文の管理
管理パッケージへのライセンスの管理
第一世代管理パッケージの機能の管理
ソリューションの無料トライアルの提供
ソリューションの更新
付録
用語集
PDF

偽陽性への対応の文書化

ほとんどの場合、偽陽性は、Source Code Scanner (Checkmarx)、Chimera、ZAP、または Burp Suite のスキャナ結果に現れます。Salesforce セキュリティレビューの異常レポートに現れることもあります。いずれの場合も、コード送信時に偽陽性に関する説明文書を含めることにより、セキュリティレビューに合格する可能性を高めることができます。

偽陽性への対応は、任意の形式を使用して文書化できます。フラグ設定された問題ごとに、次の内容を含めます。

  • 位置 — 報告された脆弱性のコードの位置を示します。
  • 説明 — フラグ設定されたコードに脆弱性がない理由を説明します。

偽陽性の論理的根拠を示すほか、文書には、特別な使用事例、状況、または例外を明確にする説明を含めます。

セキュリティスキャンの結果のカテゴリのいくつかは、文書化やコードの改変が不要な偽陽性です。これらのカテゴリは、セキュリティレビューで承認されるほとんどのセキュリティスキャナに存在します。他のスキャン結果は、既知のセキュリティ脆弱性を示すものであるため、注意が必要な重要度カテゴリに分類されます。正当と認められる偽陽性のドキュメントを送信できない場合は、セキュリティ標準を満たすように、フラグ設定されたコードを改変します。

スキャナ セキュリティレビューで注意が必要なスキャン結果 注意が不要なスキャン結果
Source Code Scanner (Checkmarx) 重要度レベルに関係なく、[Code Quality (コード品質)] というラベルが付いた問題を除く、すべての問題 [Code Quality (コード品質)] というラベルが付いた問題
ZAP および Burp Suite 重要度が高として分類された問題 重要度が低および中の問題に対しては、アクションは不要です。ただし、セキュリティ脅威の有無について調査を行うことをお勧めします。
Chimera 重要度レベルに関係なく、[Informational/Other (通知/その他)] というラベルが付いた問題を除く、すべての問題 [Informational/Other (通知/その他)] というラベルが付いた問題