安全审查（1）理解安全性

作为Salesforce的AppExchange合作伙伴，您选择通过我们的平台进行创新，为我们的所有客户创造出优质的产品。您的创新激励着我们，您的合作关系对我们的持续成功至关重要。

在Salesforce，我们的最高优先级是我们客户的信任。正如Salesforce联合创始人兼技术执行副总裁Parker Harris所说：“对我们公司而言，没有什么比我们客户的隐私数据更重要。”信任需要安全。

你有没有听到这个消息？黑客利用最新的安全漏洞成功攻击了一家大公司。成千上万的私人客户记录被盗，包括个人和财务信息。作为回应，该公司承诺为受影响的每个人支付3年的信用保护费用。你收到他们的来信吗？

每周我们都会听到这样的故事。也许你或你认识的人甚至收到了其中一家公司的来信。我们看到有关勒索软件危害医院病人或扰乱公共交通的新闻报道。攻击者窃取公司内部文件并将其出售给竞争对手。这些事件变得非常频繁，我们现在几乎期待他们。

根据Ponemon研究所的研究，不安全的软件每次事件的平均成本为400万美元。根据战略与国际研究中心（CSIS）的另一项调查，美国公司每年共同为网络犯罪损失1000亿美元。

这使我们重新回到了信任，Salesforce的头号价值。以前的数据意在考虑重建客户信任的间接成本，但信任本身很难量化。

Salesforce通过说服企业客户将其数据存储在云中来改变商业世界。起初这是一项艰难的销售，因为这些客户中有许多担心数据的安全性。但是经过多年的创新，建立客户的信任，并且一次又一次地成功，Salesforce证明了云计算是最好的商业平台。

在Salesforce，我们客户的成功就是我们的成功 – 而您的成功就是我们的成功。 Salesforce客户通过订阅模式购买我们的服务。如果他们不能相信我们和你 – 以保护他们的数据，他们没有理由坚持！

作为Salesforce合作伙伴，您有一个优势：您正在Salesforce平台上构建应用程序。我们在我们的平台中构建安全性，以便您不必从头开始。但是，我们依靠您使用该平台以保护客户数据的方式构建应用程序。为了帮助您，Salesforce安全团队在对AppExchange进行绿色照明之前，对所有产品进行严格审查。

对于我们的AppExchange合作伙伴来说，通过安全审查需要进行规划和努力，但收益非常可观。通过等级表明您对客户的承诺，并为您的产品增加真正的价值。客户知道AppExchange上的任何产品都可以为他们的数据提供最高级别的保护。

帮助我们帮助你

在Salesforce，我们为保护客户数据发挥的作用感到自豪。我们知道数据安全是团队努力。因此，我们为您提供实施安全所需的工具，您可以依靠它们来构建安全的产品。

Salesforce安全审查侧重于应用程序对最常见攻击的漏洞。产品安全团队通过一系列这些攻击来触发您的应用。他们尽最大努力获得产品中宝贵的数据。如果他们不能入侵，你通过审查！

在本单元中，我们向您提供有关如何在AppExchange上列出的应用程序中毫发无损的内部信息。

十大网络安全威胁

开放式Web应用程序安全项目（OWASP）包含最常见Web攻击的综合列表。前三项是：

• Injection: 查询将错误数据发送到系统以尝试造成损害。
• Session hacking: 攻击者通过截取证书获得进入安全会话的入口。
• Cross-site scripting: 应用程序将未验证的数据传递给Web浏览器，允许恶意代码运行。

要通过安全审查，您必须保护您的应用免受OWASP列表中的这些和其他攻击。使用该列表作为指导，在您的应用程序中开发最低级别的安全性。要了解有关这些恶意攻击的更多信息，请查看Develop Secure Web Apps踪迹。

特定于Salesforce的安全性

Salesforce平台的独特安全功能之一是CRUD / FLS：创建/读取/更新/删除和字段级安全。此功能（在此详细描述）决定谁可以访问单个组织中的单个对象和字段。由于CRUD / FLS与对象在应用中的交互方式有关，因此在设计应用时必须考虑它。

花时间设计和开发出色的功能是很有意义的。你的销售人员肯定会重视这一努力，因为它使你的产品易于销售。当然，您的客户会欣赏这一努力，因为他们可以享受这些结果。

安全工作并不那么高调和富有魅力。尝试与客户讨论SSL或MD5哈希，并注视他们的眼睛。如果你喜欢为自己的工作获得赞誉，那么很难为加强产品安全性而感到兴奋。因为当你做好你的工作时，没有人注意到。

但不要让这阻止你。我们都知道，任何阻止攻击者的人都是超级英雄。您的客户可能永远不知道您投入了多少工作。但他们会感谢您为您的业务提供的服务 – 并向其他人推荐您的应用。这不是那些最好的赞美吗？

在下一个单元中，我们将向您介绍如何创建构建安全应用程序的计划。