Usted está aquí:
Configuración de aplicación cliente externa: Protección de secretos de metadatos
Esta configuración de seguridad evita que los secretos de consumidor de texto sin formato confidencial utilizados para la autenticación de OAuth se recuperen o exporten a través de la API de metadatos de Salesforce.
Nombre de control
Configuración de aplicación cliente externa: Protección de secretos de metadatos
Configuración recomendada
Permita el acceso a secretos de consumidor de la aplicación cliente externa a través de API de metadatos: desactivada.
Descripción general de control
Esta configuración de seguridad evita que los secretos de consumidor de texto sin formato confidencial utilizados para la autenticación de OAuth se recuperen o exporten a través de la API de metadatos de Salesforce.
Riesgo de seguridad si no está configurado
Cuando se activa este acceso, cualquier usuario o proceso automatizado con permisos de lectura de metadatos puede extraer secretos criptográficos en archivos locales, sistemas de control de versiones o entornos de desarrollador, creando una vulnerabilidad masiva para el robo de credenciales.
Escenarios de amenazas
Un desarrollador confirma inadvertidamente un archivo de metadatos exportado que contiene un secreto de consumidor de texto sin formato en un repositorio de código público, permitiendo a un atacante externo secuestrar la identidad de la aplicación integrada.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
La exposición de un secreto de consumidor permite a una parte no autorizada imitar una aplicación de confianza, obteniendo potencialmente acceso completo a los datos y funciones administrativas de la organización de Salesforce vinculada.
Mayor riesgo cuando
Si su compañía utiliza frecuentemente herramientas de implementación e integración continuas externas que extraen metadatos automáticamente en entornos externos menos seguros.
Bajo riesgo cuando
Si restringió los permisos de configuración Modificar todos los datos y ver a un grupo muy pequeño de administradores de Salesforce de alta confianza y utiliza variables de entorno cifradas para todas las integraciones externas.
Consideraciones de negocio e integración
La desactivación de este acceso significa que los desarrolladores no pueden utilizar herramientas de implementación de metadatos estándar para mover secretos entre entornos, requiriendo entrada manual o inyección de credenciales seguras especializadas durante el proceso de implementación.
Remediación recomendada
Vaya a la configuración de Aplicaciones cliente externas en Configuración y asegúrese de que el conmutador para permitir el acceso a secretos de consumidor a través de la API de metadatos está desactivado.
Directrices de revisión del estado de seguridad
Security Health Review identifica el enmascaramiento de secretos de consumidor como un estándar obligatorio para la gestión de secretos, de modo que las credenciales de autenticación confidenciales nunca salen de los límites cifrados de la plataforma Salesforce.
