Ti trovi qui:
Impostazioni dell'app client esterna: Controllo della protezione dei segreti dei metadati
Questa impostazione di protezione impedisce che i segreti consumatore in formato testo normale sensibili utilizzati per l'autenticazione OAuth vengano recuperati o esportati tramite l'API dei metadati Salesforce.
Nome controllo
Impostazioni dell'app client esterna: Protezione dei segreti dei metadati
Configurazione consigliata
Consentire l'accesso ai segreti consumatore dell'app client esterna tramite l'API dei metadati - Off.
Panoramica sul controllo
Questa impostazione di protezione impedisce che i segreti consumatore in formato testo normale sensibili utilizzati per l'autenticazione OAuth vengano recuperati o esportati tramite l'API dei metadati Salesforce.
Rischio per la sicurezza se non configurato
Quando questo accesso è abilitato, qualsiasi utente o processo automatico con autorizzazioni di lettura dei metadati può estrarre segreti crittografici in file locali, sistemi di controllo delle versioni o ambienti sviluppatore, creando una grave vulnerabilità per il furto delle credenziali.
Scenari di minaccia
Uno sviluppatore conferma inavvertitamente un file di metadati esportato contenente un segreto consumatore in formato testo normale in un repository di codice pubblico, consentendo a un aggressore esterno di dirottare l'identità dell'applicazione integrata.
Intervallo di punteggi CVSS stimato
Alto (7,0–8,9).
Considerazioni sull'impatto del rischio
L'esposizione di un segreto consumatore consente a una parte non autorizzata di impersonare un'applicazione affidabile, ottenendo potenzialmente l'accesso completo ai dati e alle funzioni amministrative dell'organizzazione Salesforce collegata.
Rischio maggiore quando
Se l'azienda utilizza spesso strumenti di integrazione e distribuzione continua di terze parti che estraggono automaticamente i metadati in ambienti esterni meno sicuri.
Basso rischio quando
Se sono state limitate le autorizzazioni di impostazione Modifica tutti i dati e Visualizza a un gruppo molto ristretto di amministratori Salesforce altamente affidabili e si utilizzano variabili di ambiente crittografate per tutte le integrazioni esterne.
Considerazioni su Business e integrazione
La disabilitazione di questo accesso significa che gli sviluppatori non possono utilizzare gli strumenti di distribuzione dei metadati standard per spostare i segreti tra gli ambienti, richiedendo l'immissione manuale o l'iniezione di credenziali protette specializzate durante il processo di distribuzione.
Rimedio consigliato
Accedere alle impostazioni delle app client esterne in Imposta e verificare che il selettore per consentire l'accesso ai segreti consumatore tramite l'API dei metadati sia attivato.
Guida all'esame dello stato della sicurezza
Security Health Review identifica il mascheramento dei segreti consumatore come uno standard obbligatorio per la gestione dei segreti, in modo che le credenziali di autenticazione sensibili non escano mai dai confini crittografati della piattaforma Salesforce.
