JP:Security Review FAQ

AppExchange/OEMセキュリティレビュー認定 FAQ

Q: AppExchange/OEMセキュリティレビューは必須ですか?
A: はい。すべてのサードパーティ製AppExchange/OEMアプリケーションはセキュリティレビューをパスする必要があります。

Q: なぜセキュリティレビューを受ける必要がありますか?
A: 私たちはAppExchange及びOEMプロダクトを最もセキュアなオンデマンドアプリケーションエコシステムにしたいと考えています。セキュリティレビューを行うによって、セキュリティ標準とベストプラクティスに沿ったアプリケーションを構築する事を助けます。このレビューはAppExchange/OEMの信頼性とと顧客への訴求の意味で役に立ちます。

Q: 無料ですか?
A: こちら をみてセキュリティレビューのコストを確認して下さい。

Q: どれぐらいの期間がかかりますか? またどのぐらいの頻度で要求されますか?
A: レビュープロセスは以下のものが完全に提供されていれば20から25営業日程度の日時で完了します:

  • 完全で正確なドキュメント類
  • テストアカウントに必要な情報が全て含まれ、完全に設定済になっている
  • アプリケーションが必須条件を満たしている
  • 契約・ガイドラインへの同意

これは年次のプロセスです。毎年セキュリティレビューを行った日前後に、更新のセキュリティレビューのお願いを送らせて頂きます。


Q: セキュリティレビューには何が含まれますか?
A: セキュリティレビュープロセスには以下の2種類の評価からなります

  • 質問: ポリシー及び構築手法に関する質疑応答
  • 実施: ネットワーク及びアプリケーションへのペネトレーションテスト


Q: アプリケーションがセキュリティレビューを通過しない理由はなんですか?
A: 以下のリストはアプリケーションパスできない最も多いケースです。(順序は関係ありません):

image: Table 1.JPG


Q: セキュリティレビューを通過すると何が起きますか?
A: AppExchangeアプリケーションの場合、AppExchangeサイトへアプリケーションを掲載する機能が有効になります。追加でGroup EditionやProfessional Edition組織へアクセスするためのトークンが付与されます。また、管理パッケージを用いている場合には、ApexコードがGroup Edition及びProfessional Edition上での動作が可能となり、アプリケーションがインストール先の組織のTabやObjectの制限数に抵触しなくなります。
詳しくは下記を御覧ください。
Group Edition及びProfessional Edition向けのアプリケーションデザイン




Q: もしアプリケーションが承認されない場合はどうなりますか?
A: 発見されたすべてのエラーを解決し、フォローアップのレビューを完了するまでは、AppExchangeサイトにアプリケーションを掲載することはできません。


Q: もしアプリケーションを更新した場合、レビュー費用の再度支払い及び再レビューが必要ですか?
A: いいえ。セキュリティレビューは周期的なものですので、Salesforce.comがによって決めた間隔でレビューが行われます。(典型的には6ヶ月から2年の間です)。新しいバージョンのパッケージをAppExchangeにアップロードしリストへと追加した場合は、Force.com上のコードにセキュリティ上の脅威が無いかどうかを判断するソースコード分析が自動的に行われます。もし問題が見つかった場合は、Eメールにてレポートが送信されますので、出来る限り早くその問題を修正するようにして下さい。

また、セールスフォース・ドットコムは年間を通してあなたのアプリケーションにランダムなセキュリティペネトレーションテストを行う権利を有しています。これは年間をとおして支払われるセキュリティレビュー費用の中に含まれており、追加費用は発生致しません。しかしもし我々が あなたのアプリケーションがセキュリティ標準及びベストプラクティスに従っていないと判断した場合、AppExchangeよりアプリケーションを削除する可能性があります。

Q: 新しい管理パッケージを作成した際(既存のアプリからアップグレードした場合)、セキュリティレビュー費用を再度支払う必要はありますか?
A: いいえ。以下の回答を御覧ください。

Q: もし既存のアプリケーションから基本的な機能を抜き出した"Lite"バージョンのアプリケーションを作成した場合、既に既存アプリケーションがセキュリティレビューを受けていたとしても費用は別途発生しますか?
A: いいえ。すでに公開されているアプリケーションのサプセットである“Lite”バージョンの場合、セキュリティレビューを再度うける必要はありません。既存のレビューがそのアプリケーションに適用されます。

Q: 追加のセキュリティレビューを行う場合、一つ目のものより安くなりますか? 同時に複数アプリケーションをレビューする際の価格はいくらですか?
A: はい。2つ目以降のアプリケーションを割引できます。詳細はサポートケースを記載してください (www.appexchange.com/support).
※こちら米国のみ適用

Q: 無償アプリケーションにもセキュリティレビュー費用を払う必要がありますか?
A: いいえ。無償アプリケーションのレビュー費用は無償です。

Q: なぜ年次のセキュリティレビューが必要なのですか?
A: 我々は全てのアプリケーションに年次のセキュリティレビューを要求します。新しいバージョンのアプリケーションが提供され、かつその統合ソリューションがセキュリティベストプラクティスに沿っている必要があります。我々は最新のセキュリティ脆弱性について調べるだけでなく、産業特有の必要要件に対応すべくレビュープロセスをアップデートしています。あなたのアプリケーションをその要求に沿っていることを確実にする必要があります。

Q: レビュー済みのソリューションはPEで動作可能なことは理解しましたが、どのように動作しますか?
A: 全てのパートナーアプリケーションはレビューを通過するとAPIトークン(Client ID)が提供されます。このトークンはそのアプリケーション固有の特定のWebサービスAPIコールのみを用途として利用します。セキュリティレビュー後、アプリケーションのAPIトランザクションはProfessional Edition組織に対して動作するようになります。このトークンはGroup EditionやContact Manager Edition組織はサポートしていません。
接続方法などは以下をご参照ください。
ClientIDの利用


Q: セキュリティレビューの結果で、完全な承認暫定的な承認及び却下の違いはなんでしょうか?
A: もしセキュリティビューの結果が完全な承認か暫定的承認だった場合、アプリケーションにハイリスクな脆弱性が無いことを意味します。また暫定的承認の場合は、中程度のセキュリティ脆弱性を発見した事を意味します。この時これらの脆弱性の解消に関するタイムラインを相互に調整しますが、PEアクセスの為のトークン(ClientID)及びAppExchangeの掲載は可能です。

却下の場合は、PEアクセストークンの取得やAppExchangeへのアプリケーションの掲載の前に問題を解決する必要があります。



Retrieved from "http://wiki.developerforce.com/page/JP:Security_Review_FAQ"