It seems that CHimera was unable to scan the endpoint: https://api.bitbucket.org because of the following issue:
"Unfortunately, we were unable to verify your ownership of the target site. Because of this, your target was not scanned. Chimera may only be used to scan web applications that you own and develop."
Please follow these instructions to scan the endpoint:
"Please login to Chimera and download your abuse prevention token and upload it to the root of the target site, following the directions on the token download page.
Ну ясен пень, что я не владелец домена и отсюда так же следует что в корень я тоже хрен что залью.
Подними серваки и поставь прокси либо убеди вышеперечисленных людей)
Да мне проще сделать RemoteSite Settings сделать динамически. Уже почти закончил.
Вот реально! С каждым приложением под AppExhange такие танцы с бубнами начинаются! У них там реально нет вопросу сканирования чужих API никаких инструкций?
Есть и я его прошел, я же не виноват что их Химера не согла ничего просканировать, хотя я ей и юзера дал и пароль.
Хорошо, и как ты это прошел официально?
Unfortunately, we were unable to verify your ownership of the target site. Because of this, your target was not scanned. Chimera may only be used to scan web applications that you own and develop.
для api.bitbucket.com
Без всяких воркараундов и обмана?
Я вот сколько сталкивался (раньше) с вопросом использования Чужого API вечно потом доказывал что я не дибил и не могу починить например тот же PayPal.
Понятно что можно сделать прокси через свой сервак и сказать товарищам сканировать мой прокси хоть до посинения, но нафига так делать если и так очевидно что я не отвечаю за косяки PayPal, Bitbucket или Facebook!
Я же написал, я сделал динамическое создание Remote Site Settings. Вот и все.
Вот мне еще интересно! Почему такое вообще возможно?
Чтобы компания Salesforce толкала нас на преступление!
Какое юридическое право мы имеем сканировать чужие сервисы на предмет уязвимостей и сливать эту информацию третьм лицам? Я не вижу никаких официальных разрешений со стороны объекта исследования на эти действия. Это получается что если я буду использовать API банка через дорогу, то я могу натравить на их систему сканеры безопасности. Посмотрим через сколько ко мне в дверь постучат если у них нормальная служба безопасности и установит данный факт. Я думаю хакеры (которые занимаются тем же самым сканированием и поиском брешей в системах) не просто так используют анонимные прокси.
Так что сканирование Своей системы (владельцем которой являетесь вы) еще можно простить, а вот чужих систем я бы 30 раз подумал (особенно со своего личного компа чтобы засветить IP). Будь это США а не страна третьего мира как наша, там вообще можно было бы это дело до суда довести 
Ну короче наи...л
неа, все честно. Просто выбрал самый быстрый вариант.
Ага, но в итоге ты все равно будешь использовать в своем приложении бажный API bitbucket.com и подставлять своим приложением под удар авторитет Salesforce. Они же глубоко уверены в то что у них в AppExchange должны быть только белые и пушистые приложения
Я буду использовать не только его. Но Security Review об этом не узнает. И кстати API bitbucket.com не такой уж и бажный. Не хуже и не лучше API от Salesforce.
