ソリューションのフォローアップ AppExchange セキュリティレビューの申請
セキュリティレビューレポートには、製品セキュリティチームが見つけたセキュリティの脆弱性の種類が表示されます。脆弱性の各種類について、レポートには以下の情報が含まれます。
- ソリューションから見つかった具体的な例
- 問題を再現する手順
- 問題の修正方法に関するドキュメントまたはコメントへのリンク
Salesforce の目標はできるだけ多くの異なる種類の脆弱性を見つけることですが、セキュリティレビューはブラックボックスのテストであり、時間が制限されているプロセスであることに留意してください。セキュリティの脆弱性のすべての事例を挙げることができるとは限らず、すべての問題の種類を最初に検出できない場合もあります。セキュリティレビューの結果は、修正する必要のある問題の種類の代表例として考えてください。レポートに特に記載がない限り、ソリューション全体に関して、すべてのクラスの問題を修正する必要があります。
Salesforce が、検出事項の分析とセキュリティ脆弱性のトラブルシューティングをお手伝いします。Partner Security Portal で、テクニカルオフィスアワーの予定をスケジュールしてください。
ソリューションを改正するときには、レビューで見つかったセキュリティ問題と既存のパッケージのコードのみを修正します。その他の修正 (機能変更など) を行った場合は、変更されたソリューションの最初のセキュリティレビューを申請する必要があります。修正したコードで新しいパッケージを作成した場合も同様です。
ソリューションを修正した後、フォローアップレビューを行うために必要なデータを集めます。改正したソリューションで必須のスキャナーツールを再実行し、更新されたスキャンレポートを生成します。管理パッケージでの問題を修正した場合は、更新されたソーススキャナー結果を提出します。外部エンドポイントで検出された問題を修正した場合は、更新された ZAP または Chimera スキャンレポートを提出します。該当する場合は、偽陽性への対応を文書化します。
提出するデータについての詳細は、「セキュリティレビューの申請に必要なデータ」を参照してください。