セキュアコーディングガイドライン

セールスフォース・ドットコムでは、Force.com で開発されたアプリケーションや Force.com に統合されたアプリケーションを監査する過程で、さまざまなセキュリティの問題を確認してきました。ここでは、その中でも特によく見られた問題をご紹介します。Force.com 開発者の多くの皆さんが統合に取り組まれているという点を考慮して、Java、ASP.NET、PHP、Ruby on Rails などの他の Web プラットフォームの例も取り上げています。また、Force.com プラットフォームでは、セキュリティに関するさまざまな問題に対して、包括的なソリューションや局所的な防御策を提供していますが、そうした取り組みについても適宜説明しています。

これらの記事は、Web アプリケーションのセキュリティ問題を徹底的に調査したドキュメントというよりは、手軽に読める参考資料のようなものとお考えください。Web アプリケーションのセキュリティ問題についてより広い知識を得たい場合は、OWASP (Open Web Application Security Project) のサイト (英語) を参照してください。

各記事で議論されているテーマをひととおり理解できたら、セールスフォース・ドットコムが提供しているツールを使用して、皆さんのアプリケーションに問題がないかをチェックしてみてください。

  1. クロスサイトスクリプティング
  2. SQL インジェクションと SOQL インジェクション
  3. クロスサイト・リクエストフォージェリ (CSRF)
  4. セキュリティ保護された通信と Cookie
  5. 重要データの保存
  6. 想定外のリダイレクト
  7. 認証とアクセス制御
  8. オブジェクトレベル、項目レベルでのセキュリティ
  9. シングルサインオンのセキュリティ
  10. Lightning セキュリティ ベストプラクティス (英語)