ISVforce ガイド
jSalesforce Code Analyzer を使用したソリューションのスキャン
AppExchange パートナーとして管理パッケージをセキュリティレビューに提出する場合は、Salesforce Code Analyzer でパッケージをスキャンし、ソリューションの AppExchange セキュリティレビュー申請でテスト結果を提出する必要があります。このスキャンは、Partner Security Portal が提供するツールを使用して実行する必要があるスキャンの追加として行います。これらのスキャンに使用するツールは Source Code Scanner (Checkmarx スキャナーとも呼ばれます) と、Chimera スキャナーです。
| 必要なユーザー権限 | |
|---|---|
| パートナーコミュニティ、パートナーコンソール、およびパートナーコミュニティにアクセスする | 「リスティングの管理」 |
- ソリューションのコードをローカルのコンピューターに保存します。コードのバージョンが、セキュリティレビューに提出するパッケージと一致していることを確認してください。
- ターミナルまたは任意のコマンドラインインターフェースで、ソリューションのコードとメタデータの最上位ディレクトリに移動します。
- 最初のスキャンを sf scanner run で実行し、--category="Security" を指定し、出力ファイル名に CodeAnalyzerGeneral.csv を指定します。
- 2 番目のスキャンを sf scanner run dfa で実行し、--category="Security" を指定して、出力ファイル名に CodeAnalyzerDFA.csv を指定します。コードベースの複雑さによっては、コードの 2 番目の Code Analyzer スキャンには数時間かかることがあります。
- セキュリティレビューに提出する前に、Code Analyzer が検出した問題をすべて修正してください。
- 結果ファイルを再度スキャンして保存します。
- 誤検出を記録します。
- セキュリティレビュー申請にはクリーンな CodeAnalyzerGeneral.csv と CodeAnalyzerDFA.csv ファイルをアップロードします。
- もし誤検出の記録があれば、そのファイルもアップロードしてください。
例
最初のスキャンを実行します。
1sf scanner run --format=csv --outfile=CodeAnalyzerGeneral.csv --target="./" --category="Security"2 番目のスキャンを実行します。
1sf scanner run dfa --format=csv --outfile=CodeAnalyzerDFA.csv --target="./" --projectdir="./" --category="Security"Code Analyzer CLI コマンドを正常に実行できない場合は、Salesforce Code Analyzer のドキュメントを参照してください。それでも解決しない場合は、Salesforce Code Analyzer GitHub リポジトリに問題を登録し、セキュリティレビュー申請用のスキャン結果を生成する際に発生したエラーに関する情報を入力してください。