脆弱性評価と侵入テストの実行
会社のセキュリティポリシーで、Anypoint Platform に対して脆弱性テストと侵入テストの実行が求められている場合は、事前に Salesforce に通知せずにテストを開始できます。
すべての評価は、 セキュリティ評価同意書に準拠して実施する必要があります。
侵入テストと脆弱性テストを実行する
侵入テストは他のテナントに干渉する可能性があるため、MuleSoft では侵入テストの実行をユーザーのワーカー上でのみ許可しており、他の Anypoint Platform サービス上では許可していません。
| Salesforce は、カスタムデプロイメントで見つかった脆弱性については対応していません。 カスタムデプロイメントの検証と見つかった問題の修復は、お客様の責任となります。 |
前提条件
侵入テストを開始する前に行うこと:
-
アプリケーションの静的 IP を有効化する。
デフォルトでは、CloudHub ワーカーは静的 IP アドレスを使用せず、IP アドレスが変更されてしまうため、テストすることはできません。静的 IP を有効化する方法は、「Static IPs Tab Settings ([Static IPs (静的 IP) タブの設定)」]を参照してください。
-
テストの結果を確認して検証するための会社のセキュリティリソースを割り当てる。
手順
-
侵入テストを実行します。
セキュリティ評価同意書には、テストの制限と要件も含まれています。
-
次のドキュメントを参考にして、よくある偽陽性や設定に関するセキュリティの問題を特定するように、セキュリティリソースに指示します。
-
評価で脆弱性が検出された場合は、自動検出の検証を完了してください。未解決の検証済みセキュリティ脆弱性が見つかったら、すべて security@salesforce.com に報告してください。
メールには次の情報を含めてください。
-
Salesforce が承認したセキュリティ評価の確認番号
-
見つかった脆弱性の概要とそれぞれの重大度レベル
-
それぞれの脆弱性を説明した詳細な評価レポート
-
脆弱性を再現するための手順
-
関連するすべての HTTP 要求と応答
-
サンプルを脆弱性だと判断した理由の説明
-
セキュリティの脆弱性のレポート
セキュリティ脆弱性の発見についてレポートするには、 「Security Vulnerability Finding Submittal Guide (見つかったセキュリティ脆弱性の送信ガイド)」の手順に従ってください。必要な手順に従っていないセキュリティ脆弱性レポートは拒否されます。
Salesforce では、次のカテゴリのセキュリティ脆弱性については対応していません。
-
有効な概念実証のない自動脆弱性スキャンツールからのスキャン出力
-
有効な概念実証のないセキュリティバグ
-
以前のまたは非推奨のバージョンの Mule Runtime Engine で識別された脆弱性
-
自社で行ったコードのカスタマイズにより発生した脆弱性
-
リスクが発生しない既知のセキュリティの問題