この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。

AppExchange セキュリティレビューのしくみ

AppExchange セキュリティレビューを開始する前に、独自のテストを実行し、Salesforce が行うソリューションのセキュリティ評価に役立つ補足資料を収集します。レビューでは、Salesforce の製品セキュリティチームがソリューションのセキュリティ脆弱性を探します。チームが脆弱性を特定した場合は、パートナーはパーソナライズされた技術指標にアクセスして、特定された脆弱性に対応できます。

AppExchange で公開する予定のすべての管理パッケージ、Salesforce API、Marketing Cloud API は、セキュリティレビューを受ける必要があります。

重要

セキュリティレビュープロセスには 5 つのフェーズがあります。パートナーがソリューションを申請し、申請が確認され、申請が製品セキュリティチームのレビューキューに追加され、申請のテストと検証が行われ、パートナーに結果が通知されます。

準備の確認

セキュリティレビューのしくみを理解するのと同じくらい重要なのは、セキュリティレビューへの準備ができているかどうかを知ることです。次のことが完了すれば、ソリューションのセキュリティレビューを申請する準備ができています。

業界最高のセキュリティ標準に従ってソリューションを保護する。
ソリューションが Lightning 対応であることを確認する。セキュリティレビューを申請するすべての新しいソリューションは、Lightning 対応である必要があります。
Salesforce パートナーコンソールで次のことを実行する。
- パッケージ化を行う組織を AppExchange に接続する。
- プロバイダープロファイルを作成します。
- ソリューションリストを作成する。

ソリューションは、AppExchange パートナープログラムに登録されている必要があります。

メモ

ソリューションのテスト

ソリューション開発のライフサイクル全体を通じて、自動スキャンツールの実行や手動でのテストを行います。セキュリティスキャンツールは有用ですが、提供されるのはソリューションの脆弱性に関する第一段階でのインサイトに過ぎません。自動スキャンツール��検出されなかった脆弱性を見つけるために、手動でもソリューションをテストします。

コードのテストは、開発のライフサイクル全体を通じて行うことをお勧めします。テストと修復を先送りすると、問題が積み重なり、商品化が大幅に遅れる可能性が高くなります。

ヒント

開発プロセスでは、ソースコード分析用の統合ツールである Salesforce Code Analyzer でコードをスキャンすることをお勧めします。Code Analyzer は、複数のエンジン (PMD、PMD Copy Paste Detector、ESLint、RetireJS、Salesforce Graph Engine) をサポートします。Salesforce Graph Engine は、コードに含まれる作成、参照、更新、削除および項目レベルセキュリティ (CRUD/FLS) 違反の特定に便利です。

ソリューションの開発が完了したら、もう一度手動テストを実施し、製品セキュリティチームによって義務付けられている自動スキャンツールを実行します。どの種類のスキャンを実行する必要があるかは、ソリューションのアーキテクチャによって異なります。

Partner Security Portal では、Source Code Scanner (Checkmarx スキャナーとも呼ばれる) と Chimera スキャナーにアクセスできます。これらの 2 つのスキャンツールは、多くの AppExchange ソリューションのテスト要件を満たしています。

ソリューションのレビューを申請する前に、手動テストとスキャンツールで見つかったセキュリティの問題にすべて対応します。コードを修正するか、フラグが付けられた問題が偽陽性であることを文書にします。偽陽性とは、セキュリティリスクが生じるように見えるが実際にはそうではない問題です。

申請前にソリューションをテストすることで、レビューに 1 回で合格するチャンスが高くなります。事前にテストしていないソリューションが合格することはほとんどなく、レビューで検出されたセキュリティの脆弱性に対処してから再申請する必要があります。再申請すると、ソリューションの公開プロセスが大幅に遅れます。

セキュリティレビューの申請に必要な資料の収集

製品セキュリティチームが徹底した手動レビューを行えるようにする資料を用意します。ほとんどの申請で、配布しようとしているバージョンのソリューションがインストールされた Developer Edition 組織とソリューションに関するドキュメントを提供する必要があります。セキュリティレビューチームは、その Developer Edition 組織をソリューションテスト環境として使用します。Marketing Cloud アプリケーションには組織とドキュメントは必要ありません。その他に必要な資料は、ソリューションの種類によって異なります。

セキュリティレビューの準備をしているときや、セキュリティレビュー中、またはその後にさまざまな質問が出てくることがあります。懸念事項について議論したり、質問への答えを得るには、Partner Security Portal にアクセスし、オフィスアワーを予約します。ソリューションのレビュー申請についてサポートを受けるには、セキュリティレビュー業務チームを予約します。レビューで特定されたソリューションの問題のトラブルシューティングを行うには、製品セキュリティチームを予約します。

ヒント

ソリューションのレビュー申請

テストを完了し、申請に必要な資料を収集したら、ソリューションの AppExchange セキュリティレビューを申請する準備が整います。セキュリティレビュー申請インターフェースを使用して、ソリューションと必要な資料を共有し、セキュリティレビュー料金を支払います。ソリューションを無料で配布する予定であれば、料金を支払う必要はありません。

すべてを送信した後の所要期間は次のようになります。

時間枠は推定値です。審査の実際の所要時間には、提出物が完備されているかどうかやその分量など、いくつかの要因が影響します。

重要

セキュリティレビューのフェーズ	一般的な期間
セキュリティレビュー業務チームが、ユーザーの申請がレビューできる状況にあるかを確認します。ソリューションのセキュリティテストに必要なものがすべて含まれていれば、申請はすぐにレビューできます。	1 ～ 2 週間
製品セキュリティチームが、最初にソリューションをテストする。	3 ～ 4 週間
以前承認されなかったソリューションについて、セキュリティ脆弱性の修正の進行が示された場合に製品セキュリティチームが再申請をテストする。	2 ～ 3 週間

セキュリティレビューレポートのフォローアップ

セキュリティレビューが完了すると、AppExchange でのソリューションの公開申請が承認されたかどうかを通知するレポートが送信されます。

承認された場合: すぐに AppExchange でソリューションを公開してお客様に配布できます。
承認されなかった場合: セキュリティレビューチームがソリューションにセキュリティ上の問題を検出しました。ソリューションを AppExchange に掲載したり、お客様に配布することはできません。

ソリューションが承認されなかった場合は、レポートには、検出されたセキュリティ問題の種類に関する情報が含まれています。セキュリティレビューは時間が限られたブラックボックスプロセスです。セキュリティ問題のすべてのインスタンスを挙げることはできません。また、すべての問題の種別を最初に検出できない可能性もあります。セキュリティレビューの結果は、修正する必要のある問題の種類の代表例として考えてください。そして、ソリューション全体にわたって、各問題のすべてのインスタンスを厳密に見つけて修正します。

検出されたすべてのセキュリティ問題に対処します。必須の自動スキャンツールを再実行し、修正済みソリューションのレポートを生成します。その後、更新されたスキャンレポートを添えて修正済みソリューションを再申請します。

ISVforce ガイド