ソリューションのフォローアップレビューの申請

Salesforce の目標はできるだけ多くの異なる種類の脆弱性を見つけることですが、セキュリティレビューはブラックボックスのテストであり、時間が制限されているプロセスであることに留意してください。セキュリティの脆弱性のすべての事例を挙げることができるとは限らず、すべての問題の種類を最初に検出できない場合があります。セキュリティレビューの結果は、修正する必要のある問題の種類の代表例として考えてください。レポートに特に記載がない限り、ソリューション全体に関して、すべてのクラスの問題を修正する必要があります。

Salesforce が、検出事項の分析とセキュリティ脆弱性のトラブルシューティングをお手伝いします。Partner Security Portal で、テクニカルオフィスアワーの予定をスケジュールしてください。

ソリューションを改正するときには、レビューで見つかったセキュリティ問題と既存のパッケージのコードのみを修正します。その他の修正 (機能変更など) を行った場合は、変更されたソリューションの最初のセキュリティレビューを申請する必要があります。修正したコードで新しいパッケージを作成した場合も同様です。

ソリューションを修正した後、フォローアップレビューを行うために必要なデータを集めます。改正したソリューションで必須のスキャナツールを再実行し、更新されたスキャンレポートを生成します。管理パッケージでの問題を修正した場合は、更新されたソーススキャナ結果を提出します。外部エンドポイントで検出された問題を修正した場合は、更新された ZAP または Chimera スキャンレポートを提出します。該当する場合は、偽陽性への対応を文書化します。

提出するデータについての詳細は、「セキュリティレビューの申請に必要なデータ」を参照してください。

フォローアップレビューを依頼するプロセスは、変更の範囲に応じて異なります。

• 新しいパッケージバージョン — Salesforce Platform で実行されるコードを修正しました。管理パッケージの新��いバージョンを作成して、AppExchange リストにアップロードします。その後、新しいバージョンのレビューを開始します。パッケージ外の変更も行った場合は、申請に詳細を含めます。
• 外部コードまたは API 限定ソリューション — Salesforce の外部で実行されるコードのみを変更しました。既存のセキュリティレビュー申請を編集します。変更に関する詳細を入力します。ソリューションを再申請することを製品セキュリティに通知するには、Salesforce パートナーコミュニティでサポートケースを登録します。商品には、「Partner Community & AppExchange (パートナーコミュニティと AppExchange)」と指定します。トピックには、「Security Review (セキュリティレビュー)」と指定します。コメントにパッケージ名、ID、バージョンを記入します。