この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

ISVforce ガイド

ISVforce ガイド: AppExchange ソリューションの作成および配布
リリースノート
AppExchange での配布準備
管理パッケージを使用した AppExchange ソリューションの開発
AppExchange ソリューションの設計
AppExchange セキュリティレビューの合格
AppExchange でのソリューションの公開
AppExchange とは?
AppExchange での公開
AppExchange パートナーコンソールの起動
パートナーコンソールへの Dev Hub またはパッケージ組織の接続
プロバイダープロファイルの作成または編集
AppExchange リストを作成または編集する
AppExchange ソリューションのビジネスニーズの選択
AppExchange リスティングでの多様性に富むメンバーが所有するビジネスの詳細の表示
AppExchange リスティングでのアクセシビリティの詳細の表示
AppExchange リスティングでの Pledge 1% の詳細の表示
効果的な AppExchange リストにする
AppExchange リスティングの承認
インストール方法の選択
パッケージを登録しライセンス設定を選択する
セキュリティレビューサイクルの完了
セキュリティレビューの申請に必要なデータ
AppExchange セキュリティレビューウィザード
セキュリティレビューの管理
セキュリティレビューの結果に基づく行動
AppExchange での定期的なセキュリティ再レビュー
AppExchange 検索のしくみ
メール通知
AppExchange リードの収集
AppExchange リスティングでのソリューションの更新
FAQ - AppExchange
Checkout を使用した AppExchange での販売
AppExchange パートナーの Analytics によるパフォーマンスの監視
Channel Order App を使用した Salesforce への注文の報告
AppExchange ソリューションの無料トライアルの提供
OEM ユーザーライセンスガイド
PDF

セキュリティレビューの申請に必要なデータ

AppExchange セキュリティレビュー用にソリューションを申請するときに用意しなければならないデータ、たとえばテスト環境やドキュメントなどについて説明します。モバイルアプリケーションには、プラットフォーム固有の申請要件があります。拡張パッケージは、セキュリティレビューの対象です。Salesforce では、拡張パッケージの場合も、スタンドアロンソリューションの場合と同じデータが必要です。

AppExchange セキュリティレビューの申請要件には、エンドツーエンドソリューション環境、すべてのシステムへの有効なログイン情報、スキャンレポート、偽陽性の説明、ユーザードキュメントが含まれます。

セキュリティレビューでは、製品セキュリティチームがソリューションの必須部分と省略可能部分をテストします。通常、テスト範囲を判断するために、データをフォローする手法が用いられます。ユーザーがアクセスする部分すべてが対象となります。たとえば、ソリューションを使用するために、お客様である Salesforce ユーザーがあなたの会社の Web サイトでアカウントを作成しなければならない、またはデータがサードパーティのサーバーに同期されるとします。Salesforce のレビューチームはこれらの部分をテストし、Salesforce ログイン情報とデータが安全に転送されることを確認します。

以下を含め、ソリューションで使用されるすべての環境、パッケージ、および外部コンポーネントへのアクセスを提供します。
  • 外部の Web アプリケーションまたはサービス。
  • 必須または省略可能なクライアントアプリケーションまたはモバイルアプリケーション。
  • ソリューションに含まれるすべての Apex と Visualforce。

申請は「管理 — リリース済み」パッケージであることを確認してください。未管理パッケージやベータパッケージは受け付けることができません。

メモ

ソリューションの一部を含めるかどうかが明確でない場合は、ひとまず含めてください。レビューチームは範囲外の部分はテストしませんが、必須の部分が省かれていればレビューが遅れます。

当社では、ソリューションが企業のセキュリティ標準を満たしていることを確かめるときに、精査が実施されていることを確認したいと考えています。セキュリティスキャンレポートと、テスト結果に表示された偽陽性の説明を含めてください。

また、詳細なソリューションユーザードキュメントと貴社の情報セキュリティポリシーも提出してください。広範囲にわたるドキュメントの提供は、小規模または新規の会社にとっては実用的ではないため、提出されたドキュメントのレビューでは、会社の規模と成熟度を考慮しています。

ソリューションに合わせてカスタマイズされたチェックリストを生成するには、Salesforce パートナーコミュニティのセキュリティレビュー申請要件チェックリストビルダーを使用してください。以下は、Lightning コンポーネントのチェックリストです。

Lightning コンポーネントのチェックリストを表示するセキュリティレビュー申請要件チェックリストビルダー

次の表は、アーキテクチャの範囲に基づいて申請するデータをまとめたものです。

申請データ Salesforce ネイティブソリューション Lightning コンポーネントを使用する Salesforce ネイティブソリューション 外部の Web アプリケーションまたはサービスを使用するソリューション モバイルクライアントを使用するソリューション API のみ Marketing Cloud アプリケーション
Salesforce Developer Edition 組織 X X X X X
Developer Edition 組織にインストールされる管理パッケージ X X X X
認証が必要な外部コンポーネントの URL およびログイン情報 X X X
Checkmarx レポート X X X X
Zap または Chimera スキャンレポート X X X X
偽陽性に関するドキュメント (該当する場合) X X X X X X
ソリューションドキュメント X X X X X X
インストールリンクまたはファイルがあるプラットフォーム X
Marketing Cloud 環境へのログイン情報 X

モバイルアプリケーション

モバイルアプリケーションのテストの場合は、配布予定のすべてのプラットフォーム向けのアプリケーションを提供します。iOS の場合は、テストリリース、個別リリースに対応します。その他のプラットフォームでは、ファイルのアプリケーションに対応します (Android パッケージング (.apk) ファイルなど)。

拡張パッケージ

拡張パッケージには、ソリューションのアドオンであるパッケージと、2 つのソリューションの機能を統合するパッケージがあります。拡張パッケージを AppExchange に公開する前に、そのパッケージと拡張するソリューションがセキュリティレビューに合格する必要があります。

拡張パッケージが、セキュリティレビューに合格している基本ソリューションのアドオンである (または統合される) 場合、拡張パッケージのみのレビューを申請します。ただし、基本ソリューションがセキュリティレビューに合格していない場合は、拡張パッケージとソリューションのレビューを申請してください。

拡張パッケージのセキュリティレビュー申請要件は、類似のアーキテクチャを持つソリューションの場合と同じです。たとえば、拡張パッケージで外部コールアウトが使用される場合は、そのコールアウトを使用するパッケージの Web スキャン結果を個々に添付します。

製品セキュリティチームがソリューション全体をレビューします。セキュリティレビューを申請する完全なソリューションを Developer Edition 組織にインストールします。拡張パッケージを含めます。また、パッケージが拡張または統合するソリューションの基本パッケージと連動パッケージもすべてインストールします。これは、基本ソリューションがセキュリティレビューにすでに合格していてもいなくても必須です。

Salesforce セキュリティチームによってすべての拡張パッケージがレビューされることが重要です。パッケージのサイズが小さくても、セキュリティに脆弱性をもたらす可能性があります。