Usted está aquí:
Creación de aplicaciones cliente externas con API de metadatos: Restringir la creación de aplicaciones cliente externas utilizando la API de metadatos
Esta configuración de seguridad restringe la capacidad de definir e implementar metadatos de la aplicación cliente externa a través de la API de metadatos solo para desarrolladores y administradores autorizados.
Nombre de control
Aplicaciones cliente externas: Creación de aplicaciones cliente externas con API de metadatos: Restringir la creación de aplicaciones cliente externas utilizando la API de metadatos
Configuración recomendada
Restringir a los desarrolladores que pueden crear aplicaciones cliente externas en Configuración de Salesforce o de forma programática utilizando la API de metadatos.
Descripción general de control
Esta configuración de seguridad restringe la capacidad de definir e implementar metadatos de la aplicación cliente externa a través de la API de metadatos solo para desarrolladores y administradores autorizados.
Riesgo de seguridad si no está configurado
La creación programática no controlada de aplicaciones cliente externas para desarrolladores lleva a la expansión de integraciones en la sombra no supervisadas que omiten la gobernanza de seguridad establecida y las revisiones de arquitectura de la empresa.
Escenarios de amenazas
Un desarrollador implementa de forma programática una nueva integración con ámbitos de OAuth de alto privilegio en un entorno de producción sin someterse a una evaluación de seguridad formal, creando una puerta trasera persistente y oculta para el acceso a los datos.
Intervalo de puntuación de CVSS estimado
Alto (7,0–8,9).
Consideraciones sobre el impacto del riesgo
No restringir la creación de aplicaciones dirigidas por metadatos facilita el crecimiento de un ecosistema de aplicaciones no gestionado, lo que hace imposible para los equipos de seguridad mantener un inventario preciso de puntos de acceso externos.
Riesgo más alto cuando
Cuando se otorgan permisos de API de metadatos amplios a contratistas externos o cuando la organización carece de una canalización de implementación automatizada que aplique el análisis de seguridad obligatorio.
Bajo riesgo cuando
Si la organización utiliza un modelo de perfil restringido que deniega el acceso de escritura de metadatos de forma predeterminada y requiere que todos los cambios de configuración pasen por un sistema de control de versiones centralizado.
Consideraciones comerciales y de integración
La implementación de esta restricción garantiza que todas las nuevas integraciones estén alineadas con los estándares de cumplimiento corporativo, aunque puede requerir actualizaciones en flujos de trabajo de desarrollador y secuencias de comandos de integración continuas.
Remediación recomendada
Vaya a Permisos del sistema en los perfiles o conjuntos de permisos relevantes y asegúrese de que solo los usuarios autorizados poseen el permiso para crear o actualizar metadatos de la aplicación cliente externa a través de la API.
Directrices de revisión del estado de seguridad
Security Health Review identifica la restricción de la creación de aplicaciones programáticas como un estándar altamente recomendado para mantener la supervisión centralizada y evitar la proliferación de integraciones en la sombra dentro de la instancia de Salesforce.
