Top Banner
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved. Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved. Secure Coding: External App Integration Dreamforce’2014 TerraSky Power Night
14

Secure coding external app integration

Jul 05, 2015

Download

Business

Junji Imaoka

Dreamforce'2014で参加したセッションの簡単な報告
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Page 1: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

Secure Coding: External App Integration

Dreamforce’2014

TerraSky Power Night

Page 2: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

自己紹介

2

salesforcec.com認定資格ほか

著書 主な業務 導入コンサル アーキテクチャーデザイン Apex、VF開発 テクニカルライティング

株式会社テラスカイ

取締役 ソリューション本部 部長 今岡 純二

Page 3: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

3

SFDCと連携する外部アプリ開発経験ありますか?

Page 4: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

4

外部アプリのSFDCへの接続情報は安全に管理されていますか?

Page 5: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

連携の目的&ポイント

5

外部アプリと連携してSFDCの機能を拡張

SFDCユーザとの対応付けが必要

SFDCのセキュリティモデルに準じたACL

Page 6: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

6

外部アプリと連携する時どうしてます?

IDとパスワードを保持してません?

Page 7: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

7

OAuthを使いましょう!

Page 8: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

API / OAuth

8

OAuthでアクセストークンを受け取る

トークンはパスワードを扱うのと同等に大事

Page 9: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

9

Consumer Secretは安全に保存されてます?

Page 10: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

10

カスタム設定を使いましょうSecure Credential Storage

カスタム設定で保護できる

外部システムのAPIキーのようなものの設定に使う

Page 11: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

SFDCの重要な情報の扱い

11

OAuthで統合する場合、トークンを厳重に管理

セキュアストレージを使う

外部アプリでID、パスワードを保存しない

OAuthのスコープは最小限にする

トークンをログに出力しない

Page 12: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

12

その他は?

Page 13: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

外部アプリもセキュアに

13

安全なコーディングガイドラインに従うこと

Webアプリケーションの脆弱性を知る

•Cross-Site Scripting(XSS)

•SOQL Injection

•Cross-Site Request Forgery(CSRF)

•Remote Code Execution(RCE) など

Page 14: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

14

ありがとうございました