この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

ISVforce ガイド

『ISVforce ガイド』へようこそ
ISVforce クイックスタート
AppExchange でのビジネスの成長
ソリューションの設計と作成
ソリューションのパッケージ化とテスト
AppExchange セキュリティレビューの合格
AppExchange セキュリティレビュー
AppExchange セキュリティレビューのしくみ
Partner Security Portal
ソリューション全体のテスト
偽陽性
セキュリティレビューリソース
AppExchange でのソリューションの公開
Checkout を使用した AppExchange での販売
AppExchange パートナーの Analytics によるパフォーマンスの監視
注文の管理
管理パッケージへのライセンスの管理
第一世代管理パッケージの機能の管理
ソリューションの無料トライアルの提供
ソリューションの更新
付録
用語集
PDF

AppExchange セキュリティレビューのしくみ

AppExchange セキュリティレビューを開始する前に、独自のテストを実行し、Salesforce が行うソリューションのセキュリティ評価に役立つ補足資料を収集します。レビューでは、Salesforce の製品セキュリティチームがソリューションのセキュリティ脆弱性を探します。チームが脆弱性を特定した場合は、パートナーはパーソナライズされた技術指標にアクセスして、特定された脆弱性に対応できます。

AppExchange で公開する予定の管理パッケージのすべてのバージョンは、セキュリティレビューを受ける必要があります。セキュリティレビューに合格したパッケージの新しいバージョンのレビューは自動化されており、通常は数分で完了します。

重要

セキュリティレビュープロセスには 5 つのフェーズがあります。パートナーがソリューションを申請し、申請が確認され、申請が製品セキュリティチームのレビューキューに追加され、申請のテストと検証が行われ、パートナーに結果が通知されます。

準備の確認

セキュリティレビューのしくみを理解するのと同じくらい重要なのは、セキュリティレビューへの準備ができているかどうかを知ることです。次のことが完了すれば、ソリューションのセキュリティレビューを申請する準備ができています。

  • ソリューションが AppExchange パートナープログラムに登録されていて、販売契約があることをパートナー採用担当者に確認する。
  • 業界最高のセキュリティ標準に従ってソリューションを保護する。
  • ソリューションが Lightning 対応であることを確認する。セキュリティレビューを申請するすべての新しいソリューションは、Lightning 対応である必要があります。
  • Salesforce パートナーコミュニティ公開コンソールで次のことを実行する。
    • パッケージ化を行う組織を AppExchange に接続する。
    • プロバイダプロファイルを作成します。
    • ソリューションリストを作成する。
    • レビューのためのビジネスプランを送信し、Salesforce の承認を受ける。

ソリューションのテスト

ソリューション開発のライフサイクル全体を通じて、自動スキャンツールの実行や手動でのテストを行います。セキュリティスキャンツールは有用ですが、提供されるのはソリューションの脆弱性に関する第一段階でのインサイトに過ぎません。自動スキャンツールで検出されなかった脆弱性を見つけるために、手動でもソリューションをテストします。

コードのテストは、開発のライフサイクル全体を通じて行うことをお勧めします。テストと修復を先送りすると、問題が積み重なり、商品化が大幅に遅れる可能性が高くなります。

ヒント

ソリューションの開発が完了したら、もう一度手動テストを実施し、製品セキュリティチームによって義務付けられている自動スキャンツールを実行します。どの種類のスキャンを実行する必要があるかは、ソリューションのアーキテクチャによって異なります。

Partner Security Portal では、Source Code Scanner (Checkmarx スキャナとも呼ばれる) と Chimera スキャナにアクセスできます。これらの 2 つのスキャンツールは、多くの AppExchange ソリューションのテスト要件を満たしています。

ソリューションのレビューを申請する前に、手動テストとスキャンツールで見つかったセキュリティの問題にすべて対応します。コードを修正するか、フラグが付けられた問題が偽陽性であることを文書にします。偽陽性とは、セキュリティリスクが生じるように見えるが実際にはそうではない問題です。

申請前にソリューションをテストすることで、レビューに 1 回で合格するチャンスが高くなります。事前にテストしていないソリューションが合格することはほとんどなく、レビューで検出されたセキュリティの脆弱性に対処してから再申請する必要があります。再申請すると、ソリューションの公開プロセスが大幅に遅れます。

セキュリティレビューの申請に必要な資料の収集

製品セキュリティチームが徹底した手動レビューを行えるようにする資料を用意します。ほとんどの申請で、配布しようとしているバージョンのソリューションがインストールされた Developer Edition 組織とソリューションに関するドキュメントを提供する必要があります。セキュリティレビューチームは、その Developer Edition 組織をソリューションテスト環境として使用します。Marketing Cloud アプリケーションには組織とドキュメントは必要ありません。その他に必要な資料は、ソリューションの種類によって異なります。

セキュリティレビューの準備をしているときや、セキュリティレビュー中、またはその後にさまざまな質問が出てくることがあります。懸念事項について議論したり、質問への答えを得るには、Partner Security Portal にアクセスし、オフィスアワーを予約します。ソリューションのレビュー申請についてサポートを受けるには、セキュリティレビュー業務チームを予約します。レビューで特定されたソリューションの問題のトラブルシューティングを行うには、製品セキュリティチームを予約します。

ヒント

ソリューションのレビュー申請

テストを完了し、申請に必要な資料を収集したら、ソリューションの AppExchange セキュリティレビューを申請する準備が整います。セキュリティレビュー申請インターフェースを使用して、ソリューションと必要な資料を共有し、セキュリティレビュー料金と AppExchange 年間掲載料を支払います。ソリューションを無料で配布する予定であれば、料金を支払う必要はありません。

すべてを送信した後の所要期間は次のようになります。

セキュリティレビューのフェーズ 一般的な期間
セキュリティレビュー業務チームが、ユーザの申請がレビューできる状況にあるかを確認します。ソリューションのセキュリティテストに必要なものがすべて含まれていれば、申請はすぐにレビューできます。 1 ~ 2 日間
製品セキュリティチームが、最初にソリューションをテストする。 4 ~ 6 週間
以前承認されなかったパッケージについて、セキュリティ脆弱性の修正の進行が示された場合に製品セキュリティチームが再申請をテストする。 2 ~ 3 週間

セキュリティレビューレポートのフォローアップ

セキュリティレビューが完了すると、AppExchange でのソリューションの公開申請が承認されたかどうかを通知するレポートが送信されます。

  • 承認された場合: すぐに AppExchange でソリューションを公開してお客様に配布できます。
  • 承認されなかった場合: セキュリティレビューチームがソリューションにセキュリティ上の問題を検出しました。ソリューションを AppExchange に掲載したり、お客様に配布することはできません。

ソリューションが承認されなかった場合は、レポートには、検出されたセキュリティ問題の種類に関する情報が含まれています。セキュリティレビューは時間が限られたブラックボックスプロセスです。セキュリティ問題のすべてのインスタンスを挙げることはできません。また、すべての問題の種別を最初に検出できない可能性もあります。セキュリティレビューの結果は、修正する必要のある問題の種類の代表例として考えてください。そして、ソリューション全体にわたって、各問題のすべてのインスタンスを厳密に見つけて修正します。

検出されたすべてのセキュリティ問題に対処します。必須の自動スキャンツールを再実行し、修正済みソリューションのレポートを生成します。その後、更新されたスキャンレポートを添えて修正済みソリューションを再申請します。