Usted está aquí:
Creación de aplicaciones cliente externas con API de metadatos: Restringir la creación de aplicaciones cliente externas utilizando el control de API de metadatos
Esta configuración de seguridad restringe la capacidad de definir e implementar metadatos de aplicaciones cliente externas a través de la API de metadatos solo a desarrolladores y administradores autorizados.
Nombre de control
Aplicaciones cliente externas: Creación de aplicaciones cliente externas con API de metadatos: Restringir la creación de aplicaciones cliente externas utilizando la API de metadatos
Configuración recomendada
Restrinja los desarrolladores que pueden crear aplicaciones cliente externas en Configuración de Salesforce o programáticamente utilizando la API de metadatos.
Descripción general de control
Esta configuración de seguridad restringe la capacidad de definir e implementar metadatos de aplicaciones cliente externas a través de la API de metadatos solo a desarrolladores y administradores autorizados.
Riesgo de seguridad si no está configurado
La creación programática no controlada de aplicaciones cliente externas para desarrolladores lleva a la expansión de integraciones paralelas no monitoreadas que omiten la gobernanza de seguridad establecida y las revisiones arquitectónicas de la compañía.
Escenarios de amenazas
Un desarrollador implementa programáticamente una nueva integración con ámbitos de OAuth de alto privilegio en un entorno de producción sin someterse a una evaluación de seguridad formal, creando una puerta trasera persistente y oculta para el acceso a los datos.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
El fallo en la restricción de la creación de aplicaciones dirigidas por metadatos facilita el crecimiento de un ecosistema de aplicaciones no gestionado, lo que hace imposible que los equipos de seguridad mantengan un inventario preciso de puntos de acceso externos.
Mayor riesgo cuando
Cuando se otorgan permisos de API de metadatos amplios a contratistas externos o cuando la organización carece de una canalización de implementación automatizada que aplique la exploración de seguridad obligatoria.
Bajo riesgo cuando
Si la organización utiliza un modelo de perfil restringido que deniega el acceso de escritura de metadatos de forma predeterminada y requiere que todos los cambios de configuración pasen por un sistema de control de versiones centralizado.
Consideraciones de negocio e integración
La implementación de esta restricción garantiza que todas las nuevas integraciones estén alineadas con los estándares de cumplimiento corporativo, aunque puede requerir actualizaciones en flujos de trabajo de desarrollador y secuencias de comandos de integración continuas.
Remediación recomendada
Vaya a Permisos del sistema dentro de los conjuntos de permisos o perfiles relevantes y asegúrese de que solo los usuarios autorizados poseen el permiso para crear o actualizar metadatos de aplicaciones cliente externas a través de la API.
Directrices de revisión del estado de seguridad
Security Health Review identifica la restricción de la creación de aplicaciones programáticas como un estándar altamente recomendado para mantener la supervisión centralizada y evitar la proliferación de integraciones paralelas en la instancia de Salesforce.
