ISVforce ガイド
jAppExchange セキュリティレビュー
セキュリティレビューは、ハッカーやマルウェアなどの脅威に悪用される可能性があるセキュリティ脆弱性を特定するのに役立ちます。Salesforce セキュリティレビューチームは、特に一般的な Web の脆弱性に基づく脅威モデリングプロファイルを使用してソリューションをテストします。チームは、ソリューションにプログラムされた防御の突破を試みます。目標は、セキュリティ脅威が目指すのと同じように、アクセス権限がないデータの抽出や変更を行うことです。
- SOQL インジェクションと SQL インジェクション
- クロスサイトスクリプト
- セキュアでない認証やアクセス制御プロトコル
- レコード共有違反など、Salesforce Platform に固有の脆弱性
特に重大な Web アプリケーションのセキュリティリスクについての詳細は、「Open Web Application Security Project (OWASP) Top Ten (オープン Web アプリケーションセキュリティプロジェクト (OWASP) トップ 10)」認知ドキュメントを参照してください。OWASP は、ソフトウェアのセキュリティ向上に取り組んでいる非営利財団です。
レビュー中に検出されたセキュリティの脆弱性について、レポートが提供されます。また、脆弱性に対応するために、対面でのサポートを受けることもできます。レポートに記載された問題に対処し、修正したソリューションのフォローアップレビューを申請します。申請ごとに複数回のレビューが提供されるため、ソリューションのセキュリティを微調整できます。
セキュリティレビュープロセスは、パーソナライズされたアドバイスやツールを備えた強化メカニズムであると考えることができます。パートナーはオフィスアワーにアクセスできます。オフィスアワーでは、セキュリティレビューチームのメンバーと直接コミュニケーションを取り、ソリューションに合わせた指標を受けることができます。さらに、セキュリティレビューチームはソリューションの調査プロセスの自動化に役立つセキュリティスキャンツールを紹介します。