学习目标
完成本单元后,您将能够:
- 解释您的产品何时需要安全审查。
- 列出您需要提交的安全审查材料。
- 解释如何开始安全审查提交过程。
- 描述安全审查提交过程。
知道何时需要评论
安全审查过程至关重要,但不一定非常痛苦。我们希望让它变得舒适和熟悉。我们希望它没有什么大不了的。
您知道,在AppExchange上启动产品之前,您的产品需要经过安全审查。但是每天都会出现新的威胁。因此,Salesforce产品安全团队可以随时要求您审核您的产品,即使该产品已获得批准。通常,AppExchange产品每年进行一次安全审核。
这里有个好消息:每次发布新版本的产品时,您都不需要通过安全审查。只需按照本单元中的同一提交流程进行操作即可自动重新批准。
组装你的材料
您提供给产品安全团队的内容取决于您的产品架构。审查你的产品的人们需要新客户使用它的一切。毕竟,他们伪装成有权访问正在运行的实例的攻击者。因此,请提供对您的应用使用的任何环境,软件包和外部组件的访问权限,并包括产品随附的任何文档。
产品安全团队也想知道你已经完成了作业。包括从您在产品上运行的扫描仪中获得的报告,以及任何误报的解释。
以下是安全团队需要的内容:
| 所需材料 | AppCloud | 带闪电组件的AppCloud | 具有外部网络应用/服务的应用 | 与原生移动客户端的应用 | 仅限API |
|---|---|---|---|---|---|
| Lightning平台开发版组织 | X | X | X | X | X |
| 登录,外部组件的URL | X | X | X | ||
| 托管软件包 | X | X | X | X | X |
| Checkmarx 报告 | X | X | X | X | X |
| Chimera/ZAP 报告 | X | X | X | ||
| 误报文件(s) | X | X | X | X | X |
| 产品文档 | X | X | X | X | X |
在您请求安全审查之前:
- 为您的产品创建一个列表,并上传您的托管软件包。
- 与Salesforce创建分销协议。请联系您的合作伙伴客户经理获取帮助。
提交给向导
Salesforce产品安全团队知道他们要求你很多。所以他们创建了方便的安全评估向导来帮助您提交一切。
开始评论
从合作伙伴社区的发布控制台开始安全审查提交流程。
- 在发布控制台中,单击“Listings ”选项卡。
- 点击您的产品列表。
- 点击 App.
- 在软件包的名称和版本号下,单击开始审阅。该向导的第1步显示一个页面,其中显示了安全审查的概述以及要为其准备的项目。当你准备开始输入信息时点击下一步。
提供公司信息
在安全审查向导的步骤2和3中,告诉安全团队您的公司。
- 在步骤2屏幕上,为Salesforce安全团队可以联系问题的人员提供联系信息。
- 点击 Save & Next.
- 在步骤3屏幕上,如果您的公司有书面安全策略,请选中顶部框。上传该政策的副本,并提供贵公司联系人的信息。
- 如果您的公司有任何相关的安全认证,请检查底部框,并包括有关这些认证的详细信息。
- 点击 Save & Next.
定义应用程序组件
在向导的第4步中,向我们介绍应用中的所有组件和服务以及它们的位置。
- 在步骤4屏幕上,如果您的产品使用任何Lightning Platform组件,请检查第一个框。
- 选择Managed Packages因为我们仅允许AppExchange上的托管软件包。
- 在“使用的技术”部分(1)中,检查Apex和Visualforce是否使用它们。我们不再支持S-Controls,因此请确保您没有使用它们。如果您使用这些技术在Salesforce之外使用了任何API,请在文本框中列出它们。
- 在下一节(2)中,如果您的产品包含移动或桌面客户端,请选中该框。在文本框中列出这些客户端使用的任何外部API
- 在接下来的两节中,如果您的产品实现了Database.com API(3)或Lightning Platform API(4),请选中相应的框。
- 在(5)下方,如果您的产品包含一个或多个移动网络应用程序,请选中该框。列出这些应用程序在文本框中使用的任何API。
- 对于iOS客户端,请提供指向您的AppStore列表的链接。如果您的应用程序未在此处列出,请使用TestFlight for iOS并向srops@salesforce.com发送邀请。
- 对于Android客户端,请提供指向您Google Play商品详情的链接。如果您还没有在那里列出您的应用程序,请链接到必要的SDK文件。
- 在下一节(6)中,如果您的产品包含网络应用程序或服务,请选中该框。选中您使用的任何平台和编程语言旁边的复选框,并列出您的产品存储的任何凭证。指出您的产品是否使用我们的单点登录服务。
- 在接下来的两个部分(7和8)中,选中表示您的产品是否有任何客户端或移动应用程序的框。
- 点击 Save.
提供测试环境
在向导的第5步中,为您的Lightning Platform组织和任何外部组件或服务提供凭据。
- 为您的Lightning Platform生产组织输入用户名和密码。确保它是一个启用了Locker Service的开发版组织。点击添加。该表格通过登录到组织来验证这些信息。
- 为您的产品使用的每个网络应用或服务输入凭据和URL,点击添加以验证每个应用或服务。对于网络应用程序,请从选取列表中选择适当的身份验证形式。
- 对于您的产品包含的每个桌面客户端,请输入用于安装的链接以及任何凭据,许可证文件和配置数据。完成输入后,点击添加。
- 对于您的每个产品的移动应用程序,请提供平台,安装文件或链接以及任何其他有用的信息。点击每个之后的添加。
上传扫描仪报告
你快完成了!在向导的第6步中,向安全团队提供由您在产品上运行的扫描仪生成的报告以及任何相关文档。
- 在“Lightning Platform Security Code扫描仪报告”中(1)附上您从Checkmarx获得的报告。不要选中说你运行报告的方框 – 我们希望看到你的健康状况良好。它给了我们温暖和模糊的感觉。
- 如果Checkmarx报告有误报,请附上一份文件解释每一项。
- 如果您正在使用外部服务,那意味着您使用ZAP或奇美拉来扫描它们。在“其他报告或文件”(2)中提供来自这些工具的任何报告。将报告和相关文档捆绑到一个存档中并在此处上传。如果ZAP没有报告问题,我们要求您证明您已经测试了正确的外部端点。通过包含扫描该端点的每个工具的屏幕截图来执行此操作。
- 点击 Save & Next.
准备好信用卡
经过第7步的简要回顾后,我们要求您在向导的第8步中支付安全审查费用。对于您在AppExchange上销售的每种产品,我们都会要求2700美元的安装费用。这需要审查本身和您的第一笔150美元的AppExchange费用。如果您的产品是免费的,我们会放弃安全审查费用。
最后,您需要与Salesforce达成分销协议。如果您还没有,请在审核前联系您的合作伙伴客户经理。
你全部设置!
恭喜你,你做到了!深呼吸,做一些延伸。也许走一走。如果您的提交中缺少任何内容,安全审查团队将与您联系。一切就绪后,您会收到一封电子邮件,确认您的产品符合安全审核要求。
产品通常需要6到8周才能完成审核流程。产品安全团队完成后,他们会向您发送一份报告,列出他们发现的任何问题。如果他们发现没有错,他们会批准你的产品。真厉害!
接下来发生什么?继续找出。
