分发托管包、Salesforce Platform API 解决方案或 Marketing Cloud AppExchange 上的 API 解决方案,它必须通过我们的安全审查。使用安全审查向导 Salesforce 合作伙伴控制台来管理您的评论。提交解决方案进行初步审核。 重新提交您修改的解决方案,以更正在上一次评审中检测到的安全问题。支付 安全审查费用。
观看视频,了解如何在 AppExchange 合作伙伴控制台。
https://play.vidyard.com/a7RXveuCz7KcD7caKmTU3f
- 提交安全审核所需的材料
了解在提交解决方案以进行 AppExchange 安全审核时必须提供的材料,例如测试环境和文档。移动应用具有特定于平台的提交要求。扩展包经过安全审查,Salesforce 需要与独立解决方案相同的材料。 - AppExchange 安全审查向导 安全审查向导
是您和其他 ISV 合作伙伴用来提交托管软件包、Salesforce API 解决方案和 Marketing Cloud API 解决方案以进行安全审查的工具。提交后,使用向导跟踪审核进度,并从审核团队获取反馈并与之沟通。该向导是 AppExchange 合作伙伴控制台的一项功能。 - 管理您的安全审核
在 AppExchange 合作伙伴控制台的安全审核向导中管理您的安全审核。创建并提交解决方案以供审核。检查向导中传递的详细状态信息。直接与处理审核的团队沟通。下载您的评论报告。提交误报文档。 - 根据安全评审结果
采取行动 在提交解决方案进行初步评审后大约 4-6 周,安全评审即告完成。检查 AppExchange 合作伙伴控制台,查看您的解决方案是否通过。了解如何公开列出已通过的解决方案,以及如何请求对未通过的解决方案进行后续评审。 - 对 AppExchange 进行定期安全重新审查 为了帮助防范最新的漏洞,我们会定期对 AppExchange
解决方案进行安全重新审查。这些审查的范围与初始安全审查类似,包括自动和手动测试。您可以自愿请求重新审核您的解决方案,或者在某些情况下,我们会通知您您的解决方案需要重新审核。在这两种情况下,都需要支付安全审查费用。
安全审查提交所需材料
了解必须提供的材料,例如测试环境和 文档,在提交解决方案以进行 AppExchange 安全审查时。移动应用程序有 特定于平台的提交要求。扩展包经过安全审查和 Salesforce 需要与独立解决方案相同的材料。
在安全审核期间,产品安全会测试您的必需部分和可选部分 溶液。为了确定测试范围,我们通常使用跟踪数据的方法。无论在哪里 客户去,我们去。例如,要使用您的解决方案,您的 Salesforce 客户需要 帐户,或者数据已同步到第三方服务器。我们的审查团队 测试这些部分,以确保它们安全地传输 Salesforce 凭据和 数据。提供对解决方案使用的所有环境、包和外部组件的访问,包括:
- 外部 Web 应用程序或服务。
- 必需或可选的客户端或移动应用程序。
- 解决方案中包含的所有 Apex 和 Visualforce。
注意
请确保提交的是托管 – 已发布的包。我们不能接受 非托管或 beta 包。
如果不确定是否要包含解决方案的一部分,请将其包含在内。综述 团队不会测试超出范围的部件,但省略必需部件会延迟 回顾。
我们希望看到您进行了尽职调查,以确保您的解决方案符合企业要求 安全标准。包括安全扫描报告以及任何误报的解释 出现在您的测试结果中。
我们还要求提供详细的解决方案用户文档和贵公司的信息安全 政策。我们理解,对于较小的或 较新的公司,因此我们在审查提交时会考虑公司规模和成熟度 文件。
要生成针对您的解决方案自定义的清单,请使用 Salesforce 合作伙伴社区中的安全审查提交要求清单生成器。以下是 Lightning 组件的清单。
下表总结了根据体系结构范围提交的内容。
| 提交材料 | Salesforce 原生解决方案 | 带有 Lightning 组件的 Salesforce 原生解决方案 | 具有外部 Web 应用或服务的解决方案 | 使用移动客户端的解决方案 | 仅限 API | Marketing Cloud 应用程序 |
|---|---|---|---|---|---|---|
| Salesforce Developer Edition 组织 | X | X | X | X | X | |
| 在 Developer Edition 组织中安装了托管软件包 | X | X | X | X | ||
| 需要身份验证的外部组件的 URL 和登录凭据 | X | X | X | |||
| Checkmarx报告 | X | X | X | X | ||
| Zap 或 Chimera 扫描报告 | X | X | X | X | ||
| 误报文档(如果适用) | X | X | X | X | X | X |
| 解决方案文档 | X | X | X | X | X | X |
| 带有安装链接或文件的平台 | X | |||||
| Marketing Cloud 环境的凭据 | X |
移动应用
对于移动应用测试,请为计划分发的所有平台预配应用 上。对于 iOS,我们接受测试外部测试版或临时部署。对于其他平台,我们接受 应用程序在文件中,例如 Android 打包 (.apk) 文件。
扩展包
扩展包是作为解决方案的加载项或集成 两种解决方案的功能。在可以公开列出扩展包之前 AppExchange、它及其扩展的解决方案必须通过安全审查。
如果扩展包是具有以下基本解决方案的附加组件或与以下基本解决方案集成 通过安全评审,仅提交扩展包进行评审。但是,如果 基础解决方案尚未通过安全审查,请提交扩展包以及 未经审查的解决方案。
扩展包的安全评审提交要求与扩展包的安全评审提交要求相同 具有类似体系结构的解决方案。例如,如果你有一个扩展包 外部标注,为带有标注的包附加单独的 Web 扫描结果。
产品安全团队会从整体上审查解决方案。在 您与安全审查一起提交的 Development Edition 组织。包括扩展 包。此外,为您的包安装解决方案的所有基本包和依赖包 扩展或集成。这是必需的,无论基本解决方案是否已经通过了 安全审查与否。
Salesforce 安全团队必须审查每个扩展包,这一点很重要。即使很小 软件包可能会引入安全漏洞。
AppExchange 安全检查向导
安全评审向导是你和其他 ISV 合作伙伴用来提交的工具 您的托管软件包、Salesforce API 解决方案和 Marketing Cloud API 解决方案的安全性 回顾。提交后,使用向导跟踪审核进度并获取反馈 来自从事您的评论的团队并与之沟通。该向导是 AppExchange 合作伙伴控制台。
- AppExchange 安全审查阶段 AppExchange 安全审查过程分为四个阶段
。作为合作伙伴,了解这些阶段是什么,每个阶段会发生什么,并知道您的评论处于哪个阶段,这一点很重要。 - 向导中的 AppExchange 安全审核反馈
随着安全审核的进行,审核团队会定期提出问题和更新。当他们有内容要与你共享时,团队会将详细反馈发布到安全评审向导中的“概述”页。反馈的类型取决于评审的阶段:提交验证、测试等。每当您的审核状态发生更改时,我们还会向您的安全审核联系人发送一封电子邮件,告知您“概述”页面上提供了新信息。
AppExchange 安全审查阶段
AppExchange 安全审查分为四个阶段。作为合作伙伴,这很重要 让您了解这些阶段是什么,每个阶段会发生什么,并知道哪个阶段 您的评论已进入。
当您启动安全审查向导时,AppExchange 安全审查正式开始。 用于提交解决方案以进行安全审查并开始输入信息的工具。它结束了 当审核团队完成测试并与您共享结果时。这两者之间发生了很多事情。 安全评审分为四个阶段。准备和提交在此阶段,您将使用安全检查向导输入所有必需的信息,然后 提交解决方案以供审核。提交验证我们收到了您的提交。安全审查运营团队正在评估以下所有内容 您包含在提交的内容中。如果提交的内容包含所有必需的信息,我们将 可以开始测试,如果没有,有关缺少的内容的反馈将发布到向导的“概述”中 页。测试产品安全正在测试您的解决方案。做审查已经完成。详细信息将发布到向导的“概述”页。
要查看您的评论处于哪个阶段,请查看安全性中“概述”页面上的跟踪器 审阅向导。指标中的每个磁贴都代表 AppExchange 中的四个阶段之一 安全审查。
这些图块是用颜色编码的,让你了解每个阶段的进度。
- 看到绿色背景和复选标记图标
?舞台是 完成。 - 带有信息符号
的蓝色背景表示它是当前阶段。 - 橙色背景和警告图标
表示在阶段中发生了问题。 - 红色背景和错误图标
表示发生故障。 - 灰色磁贴表示舞台尚未开始。
下表汇总了在每个阶段执行的任务,以及谁负责 完成它们,以及它们可能的结果。
| 阶段 | 子阶段 | 这意味着什么 |
|---|---|---|
| 准备和提交 | 完成所有步骤,然后提交解决方案以供审核。 | 这是提交评论之前的默认阶段。在此阶段,您将提供所有 测试解决方案的安全状况所需的信息。你不会 在提交评价之前,一直处于评价状态。 |
| 我们收到了您的提交 | 提交解决方案以供审核。安全审查操作已收到请求 但尚未开始处理它。我们将审核状态设置为“已提交”。没有操作是 需要你。 | |
| 提交验证 | 我们正在检查您提交的内容是否包含所有必需的材料。 | 安全审查操作正在评估包含在 提交。他们的目标是确保他们拥有开始测试所需的一切 解决方案的安全性。审核状态为“已提交”。无需执行任何操作 你。 |
| 您的提交已准备好进行测试。 | 我们拥有测试您的解决方案所需的所有材料。我们通知了产品 解决方案已准备好进行测试的安全团队。产品安全启动时 测试,您的评论将进入下一阶段,测试。审核状态为“已提交”。您无需执行任何操作。 | |
| 我们退回了您的提交。查看反馈,更新提交内容,以及 提交。 | 安全评审操作团队退回了你的提交,因为它丢失了 测试所需的内容,例如有效的测试环境凭据或外部 组件。处理将暂停,直到我们收到未完成的项目。我们将评审状态设置为“已退回”,并将反馈发布到安全评审向导的 “概述”页。处理反馈并重新提交相同的评论。不收取任何费用 重新提交退回的提交。 | |
| 测试 | 我们正在测试解决方案的安全性。 | 产品安全部门开始对解决方案进行技术测试。审核状态 已提交。您无需执行任何操作。 |
| 我们退回了您的提交。查看反馈,更新提交内容,以及 提交。 | 在测试期间,产品安全团队发现您的提交存在以下问题: 阻止他们全面测试您的解决方案。产品安全团队返回 您的提交和设置的审核状态设置为“已返回”。你的 评审返回显示在安全评审向导的“概述”页上。解决 反馈并重新提交相同的评论。重新提交退回的邮件不收取任何费用 提交。 | |
| 您的解决方案未通过。 | 产品安全部门完成测试,发现安全漏洞。您的解决方案 没有通过。审核状态设置为“失败”。转到 Overview 页面的 安全向导,下载安全审查报告,并查看结果。解决 通过修正代码和/或记录误报来解决问题。如果必须修正代码,则必须创建新的 API 解决方案或托管包版本,并且 开始新的评论。重新测试修正的解决方案需要付费。如果必须报告误报,但不必修正代码,可以添加 误报文档到失败的审核并重新提交。拥有我们不收取任何费用 评估误报。 | |
| 您的安全审查已完成。 | 产品安全团队完成了对解决方案安全性的测试,没有发现任何安全问题。审核状态为“已提交”。您无需执行任何操作。你 审核会自动前进到下一阶段,即完成。 | |
| 做 | 祝贺!您的解决方案通过了。 | 审核状态设置为“已通过”。你离列出你的解决方案又近了一步 AppExchange。 |
| 过期 | 您的安全审核已过期。 | 过期是非官方的第五阶段和审查状态。它适用于解决方案 在通过审核后,不再符合在 AppExchange 上分发的标准。一个 安全审查可能因各种原因而过期,例如未支付的收入分成。综述 status 设置为 Expired。如果过期的评审是针对链接到公开列表的解决方案,我们会删除该列表 从 AppExchange,但您可以重新列出。与您的客户经理合作,了解为什么您的 评论已过期。解决所有问题,然后重新发布。 |
向导中的 AppExchange 安全审查反馈
随着安全评审的进行,评审团队会定期提出问题和 更新。当他们有东西要与你分享时,团队会向 安全检查向导中的“概述”页。反馈的类型取决于你的阶段 审核:提交验证、测试等。每当您的状态发生变化时 审查,我们还会向您的安全审查联系人发送电子邮件,让您知道新的 有关信息,请参阅“概述”页面。
- 关于提交验证的反馈 在提交验证
阶段,我们会检查您的安全评审提交是否包含开始技术测试所需的一切。此阶段的反馈分为三类。 - 技术测试期间的反馈 在我们验证你的提交包含评估解决方案安全性所需的所有内容后,产品安全团队将开始技术测试
。 - 关于已完成审核
的反馈 有两种可能的 AppExchange 安全审核结果。要么你的解决方案通过,要么没有通过。无论哪种情况,反馈部分都包含下一步操作的提示。
关于提交验证的反馈
在提交验证阶段,我们会检查您的安全评审提交 包括开始技术测试所需的一切。此阶段的反馈分为 三大类。
- 凭据和测试环境:以下组织或测试环境存在问题 您的提交,例如过期的身份验证凭据或 Web 的无效访问 URL 应用或服务。检查在安全性的“提供环境”步骤中输入的信息 审阅向导。根据需要进行更新。
- 文档:缺少必需的文档,例如误报文档 从您提交的内容中。要修改您包含的内容,请转到 安全审查向导。
- 组织和包:你的组织或包有些不太对劲 提交。也许您提交了打包组织而不是测试组织,或者测试组织包含 与提交的包版本不同的包版本。查看反馈并解决所有问题 行动项目。
当审核团队发布验证反馈时,您可以选择如何继续。在大多数 案例中,您必须更新提交的内容,然后重新提交以供审核。在其他时候,最好的路径 前进不清楚。选中接下来会发生什么?(1) 和 Opportunity (2) 部分 以获得指导。如果您不同意任何验证反馈,请申请再次查看 (3).
技术测试期间的反馈
在我们验证您的提交包含评估 解决方案的安全性,产品安全团队将开始技术测试。
在技术测试阶段,通常不会在“概述”页上看到太多活动。 测试完成后,结果将发布到“概述”页。我们还发送电子邮件至:
- AppExchange 合作伙伴控制台的公司信息中列出的安全审查联系人 页。
- 安全检查中“添加联系人”页面上列出的主要联系人和备用联系人 巫师。
关于您完成评价的反馈
有两种可能的 AppExchange 安全审查结果。您的解决方案通过 或者它没有。无论哪种情况,反馈部分都包含下一步操作的提示。
如果您的解决方案通过,恭喜您!您离公开列出您的 AppExchange 上的解决方案。如果您的解决方案没有通过,则意味着产品安全团队 在解决方案中检测到安全问题。您无法在 AppExchange 上列出解决方案,或者 将其分发给客户。转到“概述”页面并下载您的评价报告。它列出了 我们检测到的安全问题和漏洞的类型,但不是每个实例。
如果您同意报告中的某个问题是有效的漏洞,请修正您的解决方案。如果 您认为问题不会造成安全风险,请将其记录为误报。
解决每个问题,然后:
- 如果修正了解决方案,并且没有误报,请从 “解决方案”页。输入所有必需的信息后,请申请后续审核。对于 API 解决方案类型,则必须创建另一个解决方案以供后续评审。需要付费 重新测试修正的解决方案。
- 如果修正了解决方案,并且存在误报,请从 “解决方案”页。输入所有必需的信息并上传误报报告。然后 请求后续审查。对于 API 解决方案类型,必须为 后续审查。重新测试修正的解决方案需要付费
- 如果仅记录了误报,请转到安全评审中的“概述”页 向导,上传误报报告,然后重新提交相同的评论。我们不收取任何费用 评估误报报告。
如果您有其他问题或疑虑,请预约技术办公时间,以便 产品安全团队可以与您一起重新提交。
管理您的安全审查
在 AppExchange 合作伙伴控制台的安全审核中管理您的安全审核 巫师。创建并提交解决方案以供审核。检查详细的状态信息 在向导中交付。直接与处理审核的团队沟通。下载 您的评论报告。提交误报文档。
- 启动 AppExchange 安全审查 要启动安全审查,请从 AppExchange 合作伙伴控制台的“解决方案”页面启动安全审查
向导。您可以输入部分信息,然后保存并稍后完成。 - 在提交
之前编辑 AppExchange 安全审核 您已开始为解决方案提交安全审核,并且在提交之前需要提供更多信息。返回到安全检查向导并继续输入信息。 - 提交您的解决方案以供 AppExchange 安全审核 在 AppExchange 合作伙伴控制台中提交您的解决方案以供安全审核
。共享您的解决方案和所有必需的材料,并支付相应的费用。 - 更新退回的 AppExchange 安全审核 您提交了解决方案以进行安全审核
。然后,审核团队将其退回给您,因为他们需要测试的内容缺失或不正确。您的评论状态为“已返回”。返回安全审查向导,修复问题,然后重新提交。 - 检查 AppExchange 安全审核的状态 在 AppExchange 合作伙伴控制台中查找安全审核
的状态。提交解决方案以供审阅后,将显示状态更新。 - 请我们再看一遍我们的提交验证反馈
当您提交解决方案进行安全评审时,评审的提交验证阶段将开始。在此阶段,审核团队会评估您在提交中包含的所有内容。如果有任何缺失或不正确的内容,他们会将反馈发布到安全评审向导中的“概述”页,并将提交返回给你。如果您不同意任何验证反馈,请让我们再看一遍。我们无需再查看我们的验证反馈。 - 下载 AppExchange 安全审查报告
当解决方案未通过 AppExchange 安全审查时,解决方案中发现的漏洞将记录在审查报告中。若要下载报告,请转到安全检查向导中的“概述”页。 - 重新提交退回的安全审核,其中所有问题均为误报
在提交验证阶段,如果扫描结果指示未通过误报文档解决的安全问题,则审核状态将设置为“已退回”。您的审核将暂停,直到我们收到文档。转到安全评审向导中的“概述”页,上传误报报告,然后重新提交解决方案。我们评估误报文档不收取任何费用。 - 重新提交所有问题均为误报的失败安全审核
如果您收到 AppExchange 安全审核的结果,并且确定我们发现的所有问题都是误报,请将误报文档添加到未通过的审核中,然后重新提交。我们评估误报文档不收取任何费用。 - 过期的 AppExchange 安全审查 当审查后的解决方案不再符合在 AppExchange 上分发的条件时,安全审查
将过期。如果过期的审核是针对链接到公开列表的解决方案,我们会从 AppExchange 中删除该列表,但您可以重新列出。 - 对过期的安全审查
进行故障排除 AppExchange 安全审查过期的最常见原因是错过重新审查、逾期审查费用和未支付的收入分成。了解如何排查评价过期的原因。
启动 AppExchange 安全审查
若要启动安全评审,请从“解决方案”页启动安全评审向导 在 AppExchange 合作伙伴控制台中。您可以输入部分信息,然后保存并完成 后。在开始审核之前,请连接您的解决方案或包含以下内容的 Salesforce 组织 您的解决方案到合作伙伴控制台。
| 用户 所需权限 | |
|---|---|
| 要访问 AppExchange 合作伙伴控制台,请执行以下操作: | 管理房源 |
- 登录 Salesforce 合作伙伴社区。
- 单击“发布”|”技术 |解决方案。
- 单击解决方案名称。
- 单击“开始审核”。安全审查向导将启动,您可以开始进入 必填信息。
- 如果您想保存更改并稍后提交,请点击保存并提交 退出。
在提交之前编辑 AppExchange 安全审核
你已开始为解决方案提交安全评审,并拥有详细信息 在您提交之前提供。返回安全检查向导并继续输入 信息。
| 用户 所需权限 | |
|---|---|
| 要访问 AppExchange 合作伙伴控制台,请执行以下操作: | 管理房源 |
- 登录 Salesforce 合作伙伴社区。
- 单击“发布”|”技术 |解决方案。
- 单击解决方案的名称。
- 点击编辑评价。安全检查向导将启动,您可以编辑 回顾。
提交您的解决方案以供 AppExchange 安全审查
在 AppExchange 合作伙伴控制台中提交您的解决方案以供安全审查。共享 您的解决方案和所有必需的材料,并支付相应的费用。
| 用户 所需权限 | |
|---|---|
| 要访问 AppExchange 合作伙伴控制台,请执行以下操作: | 管理房源 |
在提交解决方案进行安全评审之前:
- 让合作伙伴招聘代表确认你已注册 AppExchange 合作伙伴计划,并且您有分销协议。
- 如果解决方案包含包,请连接相关的开发人员中心或包 org 添加到合作伙伴控制台。
- 配置安装了解决方案的 Developer Edition 测试环境。我们 使用环境来测试解决方案。
提示
提交解决方案后安排技术办公时间预约 回顾。访问合作伙伴安全门户,然后 选择 3-4 周后的日期。如果你的解决方案没有通过,你已经有一个 预约已预约。
- 登录 Salesforce 合作伙伴社区。
- 单击“发布”|”技术 |解决方案。
- 若要显示解决方案的所有版本,请单击解决方案名称。
- 单击“开始审核”。
- 提供所需的详细信息,支付审核费,并提交您的 请求。
在提交的“概述”页上跟踪审核进度 (1)。我们 通知您任何状态更新、操作项或来自我们安全团队的反馈。 在我们验证您提交的内容后,审核过程最多需要 4 周时间。
更新退回的 AppExchange 安全审核
您已提交解决方案以供安全审查。然后审查小组将其退回给 你,因为他们需要测试的东西丢失或不正确。您的状态 review 为 Returned。返回到安全审查向导,修复问题,然后 提交。
| 用户 所需权限 | |
|---|---|
| 要访问 AppExchange 合作伙伴控制台,请执行以下操作: | 管理房源 |
- 登录 Salesforce 合作伙伴社区。
- 要启动 AppExchange 合作伙伴控制台,请单击发布。
- Click Technologies |解决方案。
- 单击解决方案的名称。
- 若要启动安全检查向导,请单击“检查” 状态。
- 单击“概述”。
- 查看反馈。
- 解决所有问题。
- 单击“查看并提交”。
- 点击提交。
检查 AppExchange 安全审核的状态
在 AppExchange 合作伙伴控制台中查找安全审核的状态。地位 提交解决方案以供审阅后,将显示更新。
| 用户 所需权限 | |
|---|---|
| 要访问 AppExchange 合作伙伴控制台,请执行以下操作: | 管理房源 |
- 登录 Salesforce 合作伙伴社区。
- 要启动合作伙伴控制台,请单击发布。
- Click Technologies |解决方案。
- 找到“安全评审”列。如果解决方案不受安全性约束 review,则省略该列。
- 查看审核状态 (1)。
- 若要查看正在进行的审核的其他状态信息,请单击“检查状态”。将加载安全审查向导的“概述”页。它包含详细的 状态、审核团队的反馈和建议的操作 项目。
请我们再看一下我们的提交验证反馈
提交解决方案进行安全评审时,提交验证阶段 您的审核开始。在此阶段,审核团队会评估您包含的所有内容 在您的提交中。如果有任何遗漏或不正确的地方,他们会将反馈发布到概述 页面,然后将提交返回给您。如果您不同意 任何验证反馈,请我们再看一遍。我们不收取任何费用 再看看我们的验证反馈。
| 用户 所需权限 | |
|---|---|
| 要访问 AppExchange 合作伙伴控制台,请执行以下操作: | 管理房源 |
- 登录 Salesforce 合作伙伴社区。
- 要启动合作伙伴控制台,请单击发布。
- Click Technologies |解决方案。
- 单击返回的解决方案的名称。
- 若要转到安全检查向导的“概述”页,请单击“检查状态”。
- 单击“请求再次查看”。
- 说明为什么你的提交需要重新审视,提供大量细节, 以便我们充分了解您的担忧。
- 点击重新提交。
我们会在 2 周内回复大多数第二眼请求。
下载您的 AppExchange 安全审查报告
当解决方案未通过 AppExchange 安全审查时,漏洞 在解决方案中找到的文档记录在评审报告中。要下载报告,请转到 安全检查向导中的“概述”页。
| 用户 所需权限 | |
|---|---|
| 要访问 AppExchange 合作伙伴控制台,请执行以下操作: | 管理房源 |
- 登录 Salesforce 合作伙伴社区。
- 要启动 AppExchange 合作伙伴控制台,请单击发布。
- Click Technologies |解决方案。
- 单击未通过评审的解决方案的名称。
- 若要转到安全检查向导的“概述”页,请单击“查看” 报告。
- 点击下载报告。
重新提交退回的安全审核,其中所有问题都是误报
在提交验证阶段,如果扫描结果指示安全问题 您未使用误报文档解决的问题,则您的审核状态已设置 返回。您的审核将暂停,直到我们收到文档。转到概览 页面上,上传误报报告,然后重新提交 溶液。我们评估误报文档不收取任何费用。
| 用户 所需权限 | |
|---|---|
| 要访问 AppExchange 合作伙伴控制台,请执行以下操作: | 管理房源 |
- 登录 Salesforce 合作伙伴社区。
- 要启动 AppExchange 合作伙伴控制台,请单击发布。
- Click Technologies |解决方案。
- 单击返回的解决方案的名称。
- 若要转到安全检查向导的“概述”页,请单击“检查状态”。
- 单击上传文档。
- 单击“查看并提交”。
- 点击提交。
重新提交所有问题均为误报的失败安全评审
如果您收到 AppExchange 安全检查的结果,并且您确定 我们发现的所有问题都是误报,请将误报文档添加到 审核失败,然后重新提交。我们评估误报不收取任何费用 文档。
| 用户 所需权限 | |
|---|---|
| 要访问 AppExchange 合作伙伴控制台,请执行以下操作: | 管理房源 |
- 登录 Salesforce 合作伙伴社区。
- 要启动 AppExchange 合作伙伴控制台,请单击发布。
- Click Technologies |解决方案。
- 单击未通过评审的解决方案的名称。
- 单击相关解决方案的“查看报告” 版本。
- 选择“安全评审中发现的所有漏洞都是 误报。
- 上传误报文档。
- 单击“下一步”。
- 点击提交。
过期的 AppExchange 安全审查
当已审查的解决方案不再满足以下条件时,安全评审将过期 在 AppExchange 上分发。如果过期的评审是针对链接到公共的解决方案 listing,我们会从 AppExchange 中删除该列表,但您可以重新发布。
安全评审可能因各种原因而过期。例如,我们在以下情况下发送多封电子邮件 您的解决方案需要定期进行安全重新评审。如果我们没有收到回复,而您 错过重新评审,则解决方案的所有版本的安全评审批准都将过期。根 问题可能像过时的联系信息一样简单。定期审查和更新 合作伙伴控制台中“公司信息”页面上的联系信息。重新列出解决方案 错过重新审核后,请创建新版本并提交以供审核。
其他常见病因 逾期是逾期的审核费和未支付的收益分成。确保 我们有贵公司的最新帐单信息。联系 收集 部门或您的客户经理寻求帮助。若要在解决 付款问题,请与您的客户经理合作。
对过期的安全审查进行故障排除
AppExchange 安全审核过期的最常见原因是遗漏 重审、逾期审核费、未付收益分成。了解如何对 评价过期的原因。
| 用户 所需权限 | |
|---|---|
| 要访问 AppExchange 合作伙伴控制台,请执行以下操作: | 管理房源 |
- 登录 Salesforce 合作伙伴社区。
- 单击“发布”|”技术 |解决方案。
- 找到解决方案版本 (1)
- 确认您在“安全审查”列 (2) 中看到“已过期”。
- 单击“查看详细信息”。
- 查看接下来会发生什么?(1) 和 Opportunity (2) 部分 获取故障排除指南。
对安全审查结果采取行动
在提交解决方案进行初步审核后大约 4-6 周,您的 安全审查已完成。检查 AppExchange 合作伙伴控制台,查看您的解决方案是否通过。 了解如何公开列出已通过的解决方案,以及如何请求对 没有的解决方案。
- 提交您的解决方案以进行后续的 AppExchange 安全审查 解决方案的安全审查
已完成,但我们的安全团队发现了安全漏洞。您的解决方案未获准在 AppExchange 上分发。这不是你所希望的结果,但你有很好的陪伴。许多解决方案不会在第一次尝试时就通过。修复漏洞,并提交解决方案以供后续审查。 - 在 AppExchange
上列出您的解决方案 您的安全审核已完成,您的解决方案已通过。祝贺!在 AppExchange 上公开列出和分发您的解决方案。
提交您的解决方案以进行后续的 AppExchange 安全审查
解决方案的安全审查已完成,但我们的安全团队发现了安全性 漏洞。您的解决方案未获准在 AppExchange 上分发。这不是结果 你所希望的,但你有很好的陪伴。许多解决方案不会在第一次尝试时就通过。修复 漏洞,并提交您的解决方案以供后续审查。
安全审查报告列出了产品安全的安全漏洞类型 发现。对于每种漏洞类型,该报告包括:
- 解决方案中的特定示例
- 重现问题的步骤
- 有关如何解决问题的文档或评论的链接
我们的目标是找到尽可能多的不同类型的漏洞,但请记住 安全审查是一个黑匣子、有时间限制的过程。我们不能总是列出每一个 安全漏洞的实例,并且我们最初可能无法检测到所有问题 类型。将安全评审结果解释为问题类型的代表性示例 你必须修复。除非报告中另有说明,否则您需要解决所有类别的问题 贯穿整个解决方案。
我们可以帮助您分析调查结果并解决安全漏洞。 在合作伙伴安全门户上安排技术办公时间预约。
在修改解决方案时,请仅修复在评审和代码中发现的安全问题 在现有包中。如果您进行其他修订,例如功能更改,我们需要 修订后的解决方案经过初步安全审查。如果你 为修订后的代码启动一个新包。
重要
如果程序包 ID 和命名空间未更改,则重新提交符合条件 进行后续审查。
修复解决方案后,请收集我们完成后续工作所需的材料 回顾。在修订后的解决方案上重新运行所需的扫描程序工具,并生成更新的扫描 报告。如果您修复了托管软件包中的问题,请提供更新的源扫描程序结果。如果 修复了在外部端点上检测到的问题,提供了更新的 ZAP 或 Chimera 扫描报告。 如果适用,请记录对误报的响应。
关于提交内容,请参见安全审核提交所需材料。
- 请求对新包版本
进行后续安全评审 若要修复在以前的安全评审中发现的安全漏洞,请更改托管包中的代码。在 AppExchange 合作伙伴控制台中请求对新软件包版本进行后续审核。 - 请求对包含修订代码
的纯 API 解决方案进行后续安全审查 请求后续审查,以修复在之前审查中发现的安全问题,即您仅修正了在 Salesforce 外部运行的代码或修正了仅 API 解决方案。要请求后续审核,请创建另一个解决方案,将其连接到 AppExchange 合作伙伴控制台,然后提交以供审核。重新测试修正的代码需要付费。 - 请求对包含修订代码和误报的托管软件包进行后续安全审查 当您确定在托管软件包的 AppExchange 安全审查中发现的某些漏洞是误报,并且您更改了代码以修复其他漏洞时,
请请求后续审查。要请求后续审核,请从 AppExchange 安全审核向导中的“解决方案”页面开始新的审核。提交修正的解决方案和误报文档。重新测试修正的解决方案需要付费。 - 请求对包含修订代码和误报的 API 解决方案进行后续安全审查 当您确定 API 解决方案的 AppExchange 安全审查中发现的某些漏洞是误报,并且您更改了代码以修复其他漏洞时,
请请求后续审查。要请求后续审核,请从 AppExchange 合作伙伴控制台的“解决方案”页面开始新的审核。提交修正的解决方案和误报文档。重新测试修正的解决方案需要付费。
请求对新软件包版本进行后续安全审查
要修复在之前的安全审查中发现的安全漏洞,您更改了 托管包中的代码。请求对新软件包版本进行后续审查 AppExchange 合作伙伴控制台。在请求对托管包进行后续审核之前,请创建另一个 软件包版本并将其连接到 AppExchange 合作伙伴控制台。提交新的 版本供审查。
| 用户 所需权限 | |
|---|---|
| 在 AppExchange 合作伙伴中管理安全审查 安慰: | 管理房源 |
- 登录 Salesforce 合作伙伴社区。
- 单击“发布”|”技术 |解决方案。
- 若要显示相关版本,请单击解决方案名称。
- 单击“开始审核”。
- 提供所需的详细信息,支付审核费,并提交您的 请求。
在提交的“概述”区域(1)中跟踪审核进度。我们 通知您任何状态更新、操作项或来自我们安全团队的反馈。 在我们验证您提交的内容后,后续审核过程最多需要 4 周时间。
请求对包含修订代码的纯 API 解决方案进行后续安全审查
请求后续审核,以修复在之前审核中发现的安全问题 当您仅修复在 Salesforce 外部运行的代码或修复 仅限 API 的解决方案。要请求后续审核,请创建另一个解决方案,将其连接到 AppExchange 合作伙伴控制台,然后提交以供审核。重新测试需要付费 修正的代码。
| 用户 所需权限 | |
|---|---|
| 在 Salesforce 合作伙伴中管理安全审查 安慰: | 管理房源 |
- 登录 Salesforce 合作伙伴社区。
- 单击“发布”|”技术 |解决方案。
- 单击“连接技术”。
- 选择“API”。
- 选择 API 解决方案类型。
- 输入新 API 解决方案所需的信息。
- 单击“连接”。您的 API 解决方案现在列在“解决方案”页面上。
- 在“解决方案”页面上找到新的 API 解决方案。
- 若要启动安全检查向导,请单击“启动” 审查。
- 编辑您的提交,支付审核费,然后重新提交您的请求。
请求对包含修订代码和错误的托管软件包进行后续安全审查 阳性
当您确定 托管软件包的 AppExchange 安全审查是误报,您更改了 代码来修复其他漏洞。要申请后续审核,请从 AppExchange 安全检查向导中的“解决方案”页面。提交修正 解决方案和误报文档。重新测试修正的需要付费 溶液。在请求对托管包进行后续审核之前,请创建另一个 软件包版本并将其连接到 AppExchange 合作伙伴控制台。提交新的 版本供审查。
| 用户 所需权限 | |
|---|---|
| 要访问 AppExchange 合作伙伴控制台,请执行以下操作: | 管理房源 |
- 登录 Salesforce 合作伙伴社区。
- 单击“发布”|”技术 |解决方案。
- 单击新解决方案的名称。
- 单击相应包的“开始审核” 版本。
- 单击上传文档。
- 上传误报文档并为其指定一个描述性标题。
- 在安全审查向导中输入所有其他必需的信息,支付 审核费,并提交您的新包裹以供审核。
请求对代码修改和错误的 API 解决方案进行后续安全审查 阳性
当您确定 您的 API 解决方案的 AppExchange 安全审查是误报,您更改了 代码来修复其他漏洞。要申请后续审核,请从 AppExchange 合作伙伴控制台中的“解决方案”页面。提交修正的解决方案,并 误报文档。重新测试修正的解决方案需要付费。在请求后续审核之前,请创建一个新的 API 解决方案以提交 回顾。
| 用户 所需权限 | |
|---|---|
| 要访问 AppExchange 合作伙伴控制台,请执行以下操作: | 管理房源 |
- 登录 Salesforce 合作伙伴社区。
- 单击“发布”|”技术 |解决方案。
- 将您的新 API 解决方案连接到合作伙伴控制台:
- 单击“连接技术”。
- 选择“API”。
- 选择 API 解决方案类型,例如 Salesforce Platform 或 Marketing 云。
- 输入新 API 解决方案所需的信息。
- 单击“连接”。
- 在“解决方案”页面上找到新的 API 解决方案。
- 若要启动安全检查向导,请单击“启动” 审查。
- 单击上传文档。
- 上传误报文档并为其指定一个描述性标题。
- 在安全审查向导中输入所有其他必需的信息,支付 评审费,并提交您的新解决方案以供审核。
在 AppExchange 上列出您的解决方案
您的安全审查已完成,您的解决方案已通过。祝贺!公然地 在 AppExchange 上列出并分发您的解决方案。
| 用户 所需权限 | |
|---|---|
| 要访问 Publishing Console,请执行以下操作: | 管理房源 |
- 登录 Salesforce 合作伙伴社区。
- 单击“发布”。
- 点击列表。
- 单击解决方案的磁贴,然后根据需要编辑列表。
- 点击发布商品信息。
- 要进行确认,请再次点击【发布商品信息】。
Salesforce 会验证您的列表是否已准备好发布。例如,我们检查 你上传了磁贴图像,并且你的解决方案通过了安全评审。后 验证成功后,您的房源将发布,任何访问者都可以看到 AppExchange。
对 AppExchange 进行定期安全重新审查
为了帮助防范最新的漏洞,我们会定期进行安全防护 重新审查 AppExchange 解决方案。这些审查的范围与初始审查相似 安全审查,它们包括自动和手动测试。您可以自愿要求 重新审查您的解决方案,或者在某些情况下,我们会通知您您的解决方案 需要重新审核。在这两种情况下,都需要支付安全审查费用。
升级已通过安全评审的解决方案的托管包版本时,你 不要再经历完整的审核流程。您可以立即关联新的 版本添加到您的 AppExchange 列表。
为了确定哪些列出的解决方案需要重新审查,我们会考虑潜在风险和 自列出解决方案以来的时间量。为了确定潜在风险,我们运行 风险因素报告。如果您的解决方案显示重大变化,我们很可能是 进行重新审查。但是,低风险因素可能意味着您的解决方案不是 标记为需要重新审核。
要查看解决方案是否需要重新审核,请在 Salesforce 的“解决方案”页面上 合作伙伴控制台,查看“上架准备情况”区域 (1)。如果“需要安全审查”是 如图(1)所示,该解决方案应重新审查。如果显示 Ready to List (3),您可以 自愿请求重新审核,但这不是必需的。
如果我们发现你的解决方案不再符合我们的安全标准,我们也会通知你 并通过电子邮件提供解决问题的时间表,通常为 60 天。在 极端情况下,我们将 AppExchange 列表从公众查看中撤出。准备工作 重新列出它以供分发,您必须修复安全问题并将其提交以供分发 后续审查。
- 提交您的 AppExchange 解决方案进行定期安全重新审核 如果我们通知您您的 AppExchange 解决方案需要定期进行安全重新审核
,请使用 Salesforce 合作伙伴控制台提交所需材料。如果你的解决方案通过了我们的初始安全评审,你可以自愿请求对更高版本进行安全重新评审。
提交您的 AppExchange 解决方案以进行定期安全重新审查
如果我们通知您您的 AppExchange 解决方案需要定期安全 重新审核,使用 Salesforce 合作伙伴控制台提交所需材料。如果您的解决方案 通过我司初次安全审查后,您可以自愿申请安全复审 版本。
| 所需的用户权限 | |
|---|---|
| 要在 Salesforce 合作伙伴控制台中管理安全审核,请执行以下操作: | 管理房源 |
- 登录 Salesforce 合作伙伴社区。
- 单击“发布”|”技术 |解决方案。
- 单击解决方案名称以显示相关版本。
- 如果我们通知你某个解决方案版本需要重新审核,请找到它并单击“开始审核”(1)。如果您自愿申请重新审核,请点击申请重新审核 (2)。
安全检查向导将启动。 - 提供所需的详细信息,支付审核费,然后提交您的请求。
在您提交请求后,我们会验证它是否包含所需的材料,并开始我们的 回顾。重新审核过程最多需要 6 周时间。