Salesforce
Developer.RU
Форум
Регистрация  |  Вход

Salesforce and Checkmarx

Для тех кто работает с пакетами FYI:

Salesforce will now be enforcing the licensing limits for the scanner more strictly. The scanning service is limited to 3 free scans per application security review. If your application does not pass security review, another 3 scans will be granted. For all other uses of the scanner, each org is allowed 30,000 lines of code per month with a lookback of 1 year (e.g., 360,000 lines of code per year). This is designed to reflect that our primary use case is for the AppExchange Security Review.

Dennis 
Для тех кто работает с пакетами FYI:

Salesforce will now be enforcing the licensing limits for the scanner more strictly. The scanning service is limited to 3 free scans per application security review. If your application does not pass security review, another 3 scans will be granted. For all other uses of the scanner, each org is allowed 30,000 lines of code per month with a lookback of 1 year (e.g., 360,000 lines of code per year). This is designed to reflect that our primary use case is for the AppExchange Security Review.

В чем прелести сканера?
Что позволяет делать/находить?

Dmitry Shnyrev 
В чем прелести сканера?
Что позволяет делать/находить?

Перед сабмитом на security review, ISV обязан приложить чистый, т.е. без ошибок security report от Checkmarx, если надо то еще и ZAP report, и если есть lightning то еще скан от Lightning CLI tool.

Это обязательное условие. Я думал ты Дима знаешь об этом.

Почитать можно тут


Сам сканер был тут

Dennis 
Перед сабмитом на security review, ISV обязан приложить чистый, т.е. без ошибок security report от Checkmarx, если надо то еще и ZAP report, и если есть lightning то еще скан от Lightning CLI tool.

Это обязательное условие. Я думал ты Дима знаешь об этом.

Почитать можно [url=https://developer.salesforce.com/docs/atlas.en-us.packagingGuide.meta/packagingGuide/security_review.htm]тут[/url]


Сам сканер был [url=https://security.secure.force.com/security/tools/forcecom/scanner#]тут[/url]

Dennis
Я думал ты Дима знаешь об этом.

Ну я здесь не один сижу

Dennis
Перед сабмитом на security review, ISV обязан приложить чистый, т.е. без ошибок security report от Checkmarx

Я думаю это не единственное и основное предназначение сканеров. Мне кажется сканер позволяет выявить какие-то проблемы. А вот какие хотелось бы узнать и я думаю не только мне.

Burp Suite тоже когда-то создавали не для того чтобы Salesforce клиенты могли предоставлять чистые отчеты на Security Review.

https://www.youtube.com/watch?v=N-IKHmGjf2c

Dmitry Shnyrev 
[quote="Dennis"]Я думал ты Дима знаешь об этом.[/quote]
Ну я здесь не один сижу :)

[quote="Dennis"]Перед сабмитом на security review, ISV обязан приложить чистый, т.е. без ошибок security report от Checkmarx[/quote]
Я думаю это не единственное и основное предназначение сканеров. Мне кажется сканер позволяет выявить какие-то проблемы. А вот какие хотелось бы узнать :) и я думаю не только мне.

Burp Suite тоже когда-то создавали не для того чтобы Salesforce клиенты могли предоставлять чистые отчеты на Security Review. 

https://www.youtube.com/watch?v=N-IKHmGjf2c

вот пример чистого репорта. можно увидеть пункты по которым он сканирует.

картинка

скачать с google drive

Dennis 
вот пример чистого репорта. можно увидеть пункты по которым он сканирует.

[url=http://prntscr.com/blnsml]картинка[/url]

[url=https://drive.google.com/file/d/0B32PddbvEL3RZzU5R2YxU3RBTmM/view?usp=sharing]скачать с google drive[/url]

Выложу картинку для истории в наглядном виде

Спасибо - теперь имею представление
А я реально нифига про этот сканер не знаю кроме его названия - где-то встречал. Просто когда я последний раз сталкивался с Security Review единственный отчет который требовался был Burp Suite и ни Checkmarx, ни ZAP на горизонте еще не было

Dmitry Shnyrev 
Выложу картинку для истории в наглядном виде
[img]/pics/97/original_322b5ff0f07e4657962f7c4bf1be1352.png[/img]

Спасибо - теперь имею представление :)
А я реально нифига про этот сканер не знаю кроме его названия - где-то встречал. Просто когда я последний раз сталкивался с Security Review единственный отчет который требовался был Burp Suite и ни Checkmarx, ни ZAP на горизонте еще не было :D