ISVforce ガイド
Spring '26 (API version 66.0)
Winter '25 (API version 62.0)
Spring '24 (API version 60.0)
Summer '23 (API version 58.0)
Spring '23 (API version 57.0)
Winter '23 (API version 56.0)
Summer '22 (API version 55.0)
Spring '22 (API version 54.0)
Winter '22 (API version 53.0)
Summer '21 (API version 52.0)
Spring '21 (API version 51.0)
Winter '21 (API version 50.0)
Summer '20 (API version 49.0)
Spring '20 (API version 48.0)
Winter '20 (API version 47.0)
Summer '19 (API version 46.0)
Spring '19 (API version 45.0)
Winter '19 (API version 44.0)
Summer '18 (API version 43.0)
Spring '18 (API version 42.0)
Winter '18 (API version 41.0)
Summer '17 (API version 40.0)
Spring '17 (API version 39.0)
Winter '17 (API version 38.0)
Summer '16 (API version 37.0)
Spring '16 (API version 36.0)
Winter '16 (API version 35.0)
Summer '15 (API version 34.0)
Spring '15 (API version 33.0)
Winter '15 (API version 32.0)
リリースノート
管理パッケージを使用した AppExchange ソリューションの開発
AppExchange セキュリティレビュー
AppExchange セキュリティレビューのしくみ
ソリューション全体のテスト
Salesforce Code Analyzer を使用したソリューションのスキャン
セキュリティレビューリソース
OEM ユーザーライ���ンスガイド
AppExchange セキュリティレビューの合格
[発効日: 2023 年 8 月 9 日] Salesforce にとって、お客様の信頼は何よりも大切です。信頼を得るためにはセキュリティが欠かせません。AppExchange 上で管理パッケージ、Salesforce Platform API ソリューション、または Marketing Cloud API ソリューションを配布するには、セキュリティレビューに合格する必要があります。セキュリティレビューに向けて準備を整え、合格する方法について説明します。
このセクションに表示されている AppExchange セキュリティレビューの説明とリンクは、リストされている発効日の時点で最新です。SFDC は、AppExchange セキュリティレビューを独自の判断で随時更新または変更する場合があります。その際、通告は、行う場合もあれば、行わない場合もあります。
メモ
パートナーアプリケーション (管理パッケージ、Salesforce Platform API ソリューション、Marketing Cloud API ソリューション、および本文書で言及されるその他のソリューション) は、Salesforce のメインサービス契約 (https://www.salesforce.com/company/legal/agreements/ またはその後継の URL で入手可能) で定義された非 SFDC アプリケーションです。パートナーアプリケーションのセキュリティレビューにもかかわらず、Salesforce は、パートナーアプリケーションの品質やセキュリティに関して保証を行いません。また、顧客は、パートナーアプリケーションの品質、セキュリティ、および機能を評価する責任があります。
重要
-
AppExchange セキュリティレビュー
AppExchange 上で管理パッケージ、Salesforce Platform API ソリューション、または Marketing Cloud API ソリューションを公開するには、事前にセキュリティレビューに合格しておく必要があります。AppExchange セキュリティレビューでは、顧客データをどの程度保護できるかなど、ソリューションのセキュリティ体制をテストします。 -
AppExchange セキュリティレビューのしくみ
AppExchange セキュリティレビューを開始する前に、独自のテストを実行し、Salesforce が行うソリューションのセキュリティ評価に役立つ補足資料を収集します。レビューでは、Salesforce の製品セキュリティチームがソリューションのセキュリティ脆弱性を探します。チームが脆弱性を特定した場合は、パートナーはパーソナライズされた技術指標にアクセスして、特定された脆弱性に対応できます。 -
Partner Security Portal
Partner Security Portal は、セキュリティレビューに関するニーズの中央ハブです。このポータルは、自動セキュリティスキャンツールの Source Code Scanner (Checkmarx) と Chimera をホストしています。これらのツールを使用すれば、ソリューションのセキュリティ脆弱性を識別できます。また、このポータルでは AppExchange セキュリティエンジニアやセキュリティレビュー業務チームメンバーとのオフィスアワーを予約することもできます。オフィスアワーは、セキュリティレビュープロセスに関する質問をしたり、セキュリティ脆弱性があるコードを修正する方法について議論できるフォーラムです。 -
ソリューション全体のテスト
手動テストおよび自動セキュリティスキャナーツールを使用して、ソリューションの全範囲をテストします。セキュリティスキャンを実行するときには、Salesforce Platform と独立して動作する外部エンドポイントをすべて含めます。セキュリティ違反の偽陽性を記録し、Salesforce のセキュリティガイドラインを満たさないコードをすべて修正します。 -
Salesforce Code Analyzer を使用したソリューションのスキャン
AppExchange パートナーとして管理パッケージをセキュリティレビューに提出する場合は、Salesforce Code Analyzer でパッケージをスキャンし、ソリューションの AppExchange セキュリティレビュー申請でテスト結果を提出する必要があります。このスキャンは、Partner Security Portal が提供するツールを使用して実行する必要があるスキャンの追加として行います。これらのスキャンに使用するツールは Source Code Scanner (Checkmarx スキャナーとも呼ばれます) と、Chimera スキャナーです。 -
偽陽性
AppExchange セキュリティレビュープロセスを進めると、偽陽性の問題がソリューションで発生する可能性があります。偽陽性が発生するのは、セキュリティスキャンツールまたはコードレビュー担当者が、一見セキュリティ脆弱性があるように見えるが実際にはないコード行にフラグを設定した場合です。つまり、実際にはフラグ設定された脆弱性が存在しない、悪用できない、または有効な使用事例や機能をサポートするために必要ないにもかかわらず、フラグ設定されている場合です。 -
セキュリティレビューリソース
次のリソースは、AppExchange セキュリティレビューに向けて準備する上で役立ちます。