Esta es una traducción que desde EGA Futura ofrecemos como cortesía a toda la Ohana y comunidad de programadores, consultores, administradores y arquitectos de Salesforce para toda Iberoamérica.
El enlace a la publicación original, lo encontrarás al final de este artículo.
…
Desarrollo seguro para AppExchange
Para garantizar la fiabilidad de su aplicación, es importante dar prioridad a la seguridad incluso después de pasar la revisión de seguridad de AppExchange. Salesforce proporciona varias herramientas, consejos y trucos para apoyar su desarrollo continuo y mantener un entorno seguro.
Herramientas para comprobar vulnerabilidades en su código:
– El generador de listas de comprobación ayuda a identificar aspectos de su solución que deben comprobarse con cada nueva versión.
– Salesforce Code Analyzer, incluida la versión VS Code Beta, puede utilizarse para encontrar y mitigar vulnerabilidades en su código.
– Checkmarx, disponible en el Portal de seguridad de socios, debe utilizarse para ejecutar su paquete y programar horas de oficina con el equipo de seguridad de productos.
– Los análisis de aplicaciones web con herramientas como ZAP, Burp o Chimera pueden ayudar a comprobar sus puntos finales.
Mejores prácticas para el desarrollo continuo:
– Implique al equipo de seguridad en las primeras fases del ciclo de vida de desarrollo del software y realice análisis periódicos.
– Designe un responsable de seguridad en su equipo de desarrollo para facilitar la colaboración con los equipos de seguridad.
– Establezca repositorios de patrones de código seguro para mantener la coherencia y evitar la introducción de vulnerabilidades.
Modelado de amenazas:
– Incluya el modelado de amenazas en la fase de diseño de su ciclo de vida de desarrollo para identificar posibles puntos de entrada de vulnerabilidades y ataques.
Compruebe su código con escáneres:
– Antes de publicar su código, asegúrese de que es seguro y de que se somete al modelado de amenazas. Pida al equipo de seguridad que realice una prueba de penetración de la función.
– Compruebe y actualice regularmente sus bibliotecas utilizando herramientas como la base de datos CVE, el sitio web OWASP, retire.js o snyk.io.
Realice revisiones manuales:
– Realice un pen test en el que el equipo de seguridad revise el código y pruebe el front end de la aplicación para identificar vulnerabilidades.
Conclusión:
Los desarrolladores deben dar prioridad a las medidas y principios de seguridad para mantener la confianza. Esta guía proporciona un punto de partida para tener en cuenta la seguridad durante todo el proceso de desarrollo. Manténgase al día de las políticas y prácticas recomendadas de AppExchange a través de la documentación para desarrolladores de Salesforce.
Acerca del autor:
Richard Redditt es Analista jefe de operaciones de revisión de seguridad en el equipo del ecosistema de AppExchange. Con una amplia experiencia en el proceso de revisión de seguridad, ha proporcionado orientación y prácticas recomendadas a los socios que crean para AppExchange.
Recursos:
– [Las 20 principales vulnerabilidades encontradas en la revisión de seguridad de AppExchange](https://developer.salesforce.com/blogs/2023/08/the-top-20-vulnerabilities-found-in-the-appexchange-security-review)
– [Prepare su aplicación para superar la revisión de seguridad de AppExchange](https://developer.salesforce.com/blogs/2023/04/prepare-your-app-to-pass-the-appexchange-security-review)
– [Pase a 2GP gestionado con migraciones de paquetes](https://developer.salesforce.com/blogs/2023/05/move-to-managed-2gp-with-package-migrations)
…
Esta es una traducción realizada por EGA Futura, y este es el link a la publicación original: https://developer.salesforce.com/blogs/2024/06/developing-securely-for-appexchange.html
