Você está aqui:
Configurações do aplicativo cliente externo: Controle de proteção de segredos de metadados
Essa configuração de segurança impede que segredos de consumidor confidenciais em texto simples usados para autenticação OAuth sejam recuperados ou exportados por meio da API de metadados do Salesforce.
Nome do controle
Configurações do aplicativo cliente externo: Proteção de segredos de metadados
Configuração recomendada
Permita acesso aos segredos de consumidor do aplicativo cliente externo por meio da API de metadados – Desativado.
Visão geral de controle
Essa configuração de segurança impede que segredos de consumidor confidenciais em texto simples usados para autenticação OAuth sejam recuperados ou exportados por meio da API de metadados do Salesforce.
Risco de segurança, se não configurado
Quando esse acesso está habilitado, qualquer usuário ou processo automatizado com permissões de leitura de metadados pode extrair segredos criptográficos para arquivos locais, sistemas de controle de versão ou ambientes de desenvolvedor, criando uma enorme vulnerabilidade ao roubo de credenciais.
Cenários de ameaça
Um desenvolvedor confirma inadvertidamente um arquivo de metadados exportado contendo um segredo do consumidor em texto simples em um repositório de código público, permitindo que um invasor externo sequestre a identidade do aplicativo integrado.
Intervalo de pontuação de CVSS estimado
Alto (7.0–8,9).
Considerações sobre impacto de risco
A exposição de um segredo de consumidor permite que uma parte não autorizada personalize um aplicativo confiável, potencialmente obtendo acesso total aos dados e funções administrativas da organização do Salesforce vinculada.
Risco maior quando
Se sua empresa usa frequentemente ferramentas de integração e implantação contínuas de terceiros que capturam automaticamente metadados para ambientes externos menos seguros.
Baixo risco quando
Se você tiver restringido a modificação de todos os dados e as permissões de configuração de visualização a um grupo muito pequeno de administradores do Salesforce altamente confiáveis e usar variáveis de ambiente criptografadas para todas as integrações externas.
Considerações de negócios e integração
Desabilitar esse acesso significa que os desenvolvedores não podem usar ferramentas de implementação de metadados padrão para mover segredos entre ambientes, exigindo entrada manual ou injeção de credencial segura especializada durante o processo de implementação.
Remediação recomendada
Acesse as configurações de Aplicativos cliente externos em Configuração e certifique-se de que a opção para permitir acesso a segredos do consumidor por meio da API de metadados esteja desativada.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança identifica o mascaramento de segredos do consumidor como um padrão obrigatório para gerenciamento de segredos, de modo que as credenciais de autenticação confidenciais nunca saem dos limites criptografados da Salesforce Platform.
