ポータルのセキュリティスキャナー
| 必要なユーザー権限 | |
|---|---|
| Partner Security Portal で Source Code Scanner (Checkmarx) にアクセスする | 「Apex 開発」 |
Partner Security Portal では、Salesforce でサポートされる Source Code Scanner (Checkmarx スキャナーと���呼ばれる) と Chimera スキャナーサービスという 2 つのスキャナーにアクセスできます。
Source Code Scanner (Checkmarx) は Apex、Visualforce、Lightning コードをチェックしますが、ソリューションの外部エンドポイントはチェックしません。
Chimera は外部エンドポイントをチェックしますが、開発者が外部サーバーのルートにトークンをアップロードする必要があります。ソリューションが自分が所有しているドメインのエンドポイントに接続する場合は、Chimera を使用できます。ソリューションが自分が所有していないドメインのエンドポイントに接続する場合は、トークンをアップロードできず、Chimera は使用できません。代替ツールを使用してください。たとえば、無料の OWASP Zed Attack Proxy (ZAP) スキャナーをダウンロードするか、Burp Suite のライセンスを購入してください。
ソリューション (モバイルクライアントおよび API ソリューションを除く) を送信する直前に、Partner Security Portal で Source Code Scanner を実行します。ソリューションが Salesforce 以外のドメインに接続する場合は、外部エンドポイントで Chimera、OWASP ZAP、または Burp Suite も実行します。ソリューションのセキュリティレビューを申請するときに、スキャンのレポートを含めます。
| セキュリティスキャナー | スキャン対象 | 考慮事項 |
|---|---|---|
| Source Code Scanner (Checkmarx) | Apex、Visualforce、Lightning コード |
|
| Chimera | 自分が所有しているドメインの外部エンドポイント |
|