secure coding external app integration

14
Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved. Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved. Secure Coding: External App Integration Dreamforce’2014 TerraSky Power Night

Upload: junji-imaoka

Post on 05-Jul-2015

292 views

Category:

Business


0 download

DESCRIPTION

Dreamforce'2014で参加したセッションの簡単な報告

TRANSCRIPT

Page 1: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

Secure Coding: External App Integration

Dreamforce’2014

TerraSky Power Night

Page 2: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

自己紹介

2

salesforcec.com認定資格ほか

著書 主な業務 導入コンサル アーキテクチャーデザイン Apex、VF開発 テクニカルライティング

株式会社テラスカイ

取締役 ソリューション本部 部長 今岡 純二

Page 3: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

3

SFDCと連携する外部アプリ開発経験ありますか?

Page 4: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

4

外部アプリのSFDCへの接続情報は安全に管理されていますか?

Page 5: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

連携の目的&ポイント

5

外部アプリと連携してSFDCの機能を拡張

SFDCユーザとの対応付けが必要

SFDCのセキュリティモデルに準じたACL

Page 6: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

6

外部アプリと連携する時どうしてます?

IDとパスワードを保持してません?

Page 7: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

7

OAuthを使いましょう!

Page 8: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

API / OAuth

8

OAuthでアクセストークンを受け取る

トークンはパスワードを扱うのと同等に大事

Page 9: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

9

Consumer Secretは安全に保存されてます?

Page 10: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

10

カスタム設定を使いましょうSecure Credential Storage

カスタム設定で保護できる

外部システムのAPIキーのようなものの設定に使う

Page 11: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

SFDCの重要な情報の扱い

11

OAuthで統合する場合、トークンを厳重に管理

セキュアストレージを使う

外部アプリでID、パスワードを保存しない

OAuthのスコープは最小限にする

トークンをログに出力しない

Page 12: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

12

その他は?

Page 13: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

外部アプリもセキュアに

13

安全なコーディングガイドラインに従うこと

Webアプリケーションの脆弱性を知る

•Cross-Site Scripting(XSS)

•SOQL Injection

•Cross-Site Request Forgery(CSRF)

•Remote Code Execution(RCE) など

Page 14: Secure coding external app integration

Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.Copyright © 2012 TerraSky Co.,Ltd. All Rights Reserved.

14

ありがとうございました