この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

ポータルのセキュリティスキャナー

セキュリティの脆弱性を特定するために、ソリューションおよび Salesforce Platform と独立して動作するすべての外部エンドポイントに対してセキュリティスキャンツールを実行する必要があります。Partner Security Portal では、Salesforce が推奨する Source Code Scanner (Checkmarx) と Chimera という 2 つのスキャナーがホストされています。

必要なユーザー権限
Partner Security Portal で Source Code Scanner (Checkmarx) にアクセスする 「Apex 開発」

開発ライフサイクルを通して、コードおよび接続しているエンドポイントでセキュリティスキャンを実行することを強くお勧めします。セキュリティの脆弱性が山積みとなり、後で行う作業を増やさないために、開発中には定期的にスキャンを実行して検出された問題を修正してください。

ヒント

Partner Security Portal では、Salesforce でサポートされる Source Code Scanner (Checkmarx スキャナーと���呼ばれる) と Chimera スキャナーサービスという 2 つのスキャナーにアクセスできます。

Source Code Scanner (Checkmarx) は Apex、Visualforce、Lightning コードをチェックしますが、ソリューションの外部エンドポイントはチェックしません。

Chimera は外部エンドポイントをチェックしますが、開発者が外部サーバーのルートにトークンをアップロードする必要があります。ソリューションが自分が所有しているドメインのエンドポイントに接続する場合は、Chimera を使用できます。ソリューションが自分が所有していないドメインのエンドポイントに接続する場合は、トークンをアップロードできず、Chimera は使用できません。代替ツールを使用してください。たとえば、無料の OWASP Zed Attack Proxy (ZAP) スキャナーをダウンロードするか、Burp Suite のライセンスを購入してください。

ソリューション (モバイルクライアントおよび API ソリューションを除く) を送信する直前に、Partner Security Portal で Source Code Scanner を実行します。ソリューションが Salesforce 以外のドメインに接続する場合は、外部エンドポイントで Chimera、OWASP ZAP、または Burp Suite も実行します。ソリューションのセキュリティレビューを申請するときに、スキャンのレポートを含めます。

セキュリティスキャナー スキャン対象 考慮事項
Source Code Scanner (Checkmarx) Apex、Visualforce、Lightning コード
  • この静的スキャンツールは Checkmarx のセキュリティ技術を使用しています。
  • Salesforce パッケージまたはコンポーネントを含むセキュリティレビューの申請に必須です。モバイルクライアントまたは API ソリューションには必要ありません。
  • Source Code Scanner (Checkmarx) は、セキュリティレビュー手数料を支払ったソリューションバージョンにつき 3 回まで実行できます。開発中はオープンソースの PMD Source Code Analyzer などの代替ツールを実行し、最終的に申請するときに Source Code Scanner を実行することを検討してください。
  • パッケージ化されていないコードのスキャン、またはスキャンの回数制限やパッケージリンク要件を回避する柔軟性と自由が必要な場合は、Checkmarx からライセンスを購入してください。
Chimera 自分が所有しているドメインの外部エンドポイント
  • ソリューションの外部エンドポイントのセキュリティの脆弱性をチェックします。
  • Salesforce IP アドレスからソリューションをスキャンします。
  • ダウンロードは必要ありません。
  • 外部サーバーのルートにトークンをアップロードする必要があるため、自分が所有していないドメインのエンドポイントには使用できません。
  • ソリューションが自分が所有していない外部エンドポイントに接続する場合は、Chimera ではなく、OWASP ZAP または Burp Suite を使用します。