この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

ISVforce ガイド

『ISVforce ガイド』へようこそ
ISVforce クイックスタート
AppExchange でのビジネスの成長
ソリューションの設計と作成
ソリューションのパッケージ化とテスト
AppExchange セキュリティレビューの合格
AppExchange セキュリティレビュー
AppExchange セキュリティレビューのしくみ
Partner Security Portal
ソリューション全体のテスト
偽陽性
セキュリティレビューリソース
AppExchange でのソリューションの公開
Checkout を使用した AppExchange での販売
AppExchange パートナーの Analytics によるパフォーマンスの監視
注文の管理
管理パッケージへのライセンスの管理
第一世代管理パッケージの機能の管理
ソリューションの無料トライアルの提供
ソリューションの更新
付録
用語集
PDF

AppExchange セキュリティレビュー

AppExchange でソリューションを公開する前に、ソリューションがセキュリティレビューに合格する必要があります。AppExchange セキュリティレビューでは、顧客データをどの程度保護できるかなど、ソリューションのセキュリティ体制をテストします。

セキュリティレビューは、ハッカーやマルウェアなどの脅威に悪用される可能性があるセキュリティ脆弱性を特定するのに役立ちます。Salesforce セキュリティレビューチームは、特に一般的な Web の脆弱性に基づく脅威モデリングプロファイルを使用してソリューションをテストします。チームは、ソリューションにプログラムされた防御の突破を試みます。目標は、セキュリティ脅威が目指すのと同じように、アクセス権限がないデータの抽出や変更を行うことです。

テスト対象となる一般的なセキュリティ脅威の一部を次に挙げます。
  • SOQL インジェクションと SQL インジェクション
  • クロスサイトスクリプト
  • セキュアでない認証やアクセス制御プロトコル
  • レコード共有違反など、Salesforce Platform に固有の脆弱性

特に重大な Web アプリケーションのセキュリティリスクについての詳細は、「Open Web Application Security Project (OWASP) Top Ten (オープン Web アプリケーションセキュリティプロジェクト (OWASP) トップ 10)」認知ドキュメントを参照してください。OWASP は、ソフトウェアのセキュリティ向上に取り組んでいる非営利財団です。

サイバー脅威の範囲は大きく、Salesforce は AppExchange で配布されるソリューションに対して高いセキュリティ基準を維持しています。レビュープロセスは厳格です。AppExchange 申請が初回で承認されなかったり、何度もコードの変更が必要になったりしてもがっかりしないでください。多くのソリューションは、初めて申請するときにはセキュリティレビューに合格しません。

レビュー中に検出されたセキュリティの脆弱性について、レポートが提供されます。また、脆弱性に対応するために、対面でのサポートを受けることもできます。レポートに記載された問題に対処し、修正したソリューションのフォローアップレビューを申請します。申請ごとに複数回のレビューが提供されるため、ソリューションのセキュリティを微調整できます。

アップグレードされたソリューションが最新のセキュリティ脆弱性に対して防御されていることを確認するため、Salesforce は、AppExchange で配布されるソリューションの定期的な再レビューを実施する権利を留保します。

重要

セキュリティレビュープロセスは、パーソナライズされたアドバイスやツールを備えた強化メカニズムであると考えることができます。パートナーはオフィスアワーにアクセスできます。オフィスアワーでは、セキュリティレビューチームのメンバーと直接コミュニケーションを取り、ソリューションに合わせた指標を受けることができます。さらに、セキュリティレビューチームはソリューションの調査プロセスの自動化に役立つセキュリティスキャンツールを紹介します。