Skip to main content

Executar a Verificação de integridade

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

  • Explicar como a Verificação de integridade pode manter sua organização segura.
  • Usar as configurações da Verificação de integridade para melhorar a segurança dos aplicativos em execução na organização do Salesforce.

Segurança e aplicativos personalizados da Salesforce Platform

Quando você cria aplicativos personalizados para serem executados na organização do Salesforce, é importante garantir que sua instância do Salesforce seja segura, além de proteger os próprios aplicativos. Como a maioria dos aplicativos personalizados são específicos para negócios, é provável que os aplicativos que você cria sejam específicos para sua organização do Salesforce. 

O Salesforce se esforça constantemente para tornar a plataforma o mais segura possível e vemos a segurança dos aplicativos que você desenvolve como uma responsabilidade compartilhada. No âmbito deste esforço, fornecemos parte desse controle de segurança para que você tenha a flexibilidade necessária para atender às exigências comerciais da sua organização. 

Os recursos de segurança do Salesforce permitem que você prepare seus usuários para trabalhar de forma segura e eficiente. Este módulo aborda duas formas importantes de garantir a segurança da organização do Salesforce ao desenvolver e executar aplicativos personalizados. Vamos começar com a Verificação de integridade.

Uma mulher com uniforme de enfermeira usa um estetoscópio na pontuação de uma Verificação de integridade projetado em uma parede. A pontuação 87 está cercada no sentido horário por ícones que representam o Salesforce Shield, uma pilha bloqueada, o globo, um escudo e um telefone, e a nuvem.

O que é a Verificação de integridade?

A Verificação de integridade é um painel que permite ver até que ponto as configurações de segurança em sua organização estão alinhadas com as configurações recomendadas pelo Salesforce. Uma pontuação de 0 a 100 é exibida, sendo 100 a definição de configuração mais segura. A partir deste painel de página única, você pode ajustar a robustez dos mecanismos de segurança integrados à sua organização e corrigir configurações vulneráveis com apenas um clique. Todas as configurações de segurança estão disponíveis em uma única página, facilitando assim a visualização rápida da segurança geral da organização. Uma pontuação resumida mostra quão bem sua organização está alinhada com o padrão recomendado pelo Salesforce.

Por que usar a Verificação de integridade?

A Verificação de integridade pode expor os mecanismos de segurança inativos que existem nas configurações de segurança da organização. Você pode usar essas informações para melhorar a segurança da organização à medida que implanta aplicativos personalizados. Esse recurso é importante porque sempre que você cria e implanta um aplicativo personalizado, você afeta a segurança da organização como um todo. A maioria dos aplicativos criados na Salesforce Platform são implantados na organização do proprietário. Isto significa que a forma como seu código personalizado será executado dependerá de como você definiu as configurações de segurança em sua organização. 

Proteção de aplicativos Salesforce

Habilitar as permissões de segurança corretas é fundamental para garantir que seus aplicativos funcionem com segurança quando implantados no Salesforce. Você pode criar componentes do Lightning usando dois modelos de programação: Componentes Web do Lightning (LWC) e o modelo original, componentes do Aura. No entanto, de forma geral, o Salesforce tem deixado de usar componentes do Aura e passado a usar LWC. 

Os componentes Web do Lightning (LWC) são elementos HTML personalizados criados usando HTML e JavaScript. O LWC e os componentes do Aura podem coexistir e operar em conjunto em uma página. Para administradores e usuários finais, ambos aparecem como componentes do Lightning. O LWC usa os principais padrões de componentes Web e fornece apenas o que é necessário para um bom desempenho em navegadores compatíveis com o Salesforce. Por ter como base o código executado nativamente nos navegadores, o LWC é leve e oferece desempenho excepcional. A maior parte do código usado é JavaScript e HTML padrão.

Nota

Como o LWC tem se tornado o padrão para o desenvolvimento de aplicativos da web, este módulo cobre as configurações e condições de segurança do LWC. 

Proteja suas configurações de sessão do LWC

Para executar um aplicativo do Salesforce, você geralmente tem o seguinte: 

  1. Uma organização do Salesforce
  2. Código do lado do navegador no LWC
  3. Código do lado do servidor no Apex

Ao habilitar as permissões de segurança corretas, você pode alterar a forma como seus aplicativos operam quando implantados no Salesforce. Para acessar as permissões de segurança, vá para Configuração | Segurança ou Configuração e use a caixa de pesquisa para encontrar a configuração exata que você está procurando. A maioria das configurações de segurança são simples botões ligar/desligar. Recomendamos ativar as seguintes configurações de segurança.

Exigir o atributo HttpOnly

A definição do atributo HttpOnly mudará a forma como um aplicativo se comunica com o servidor do Salesforce, aumentando a segurança de cada cookie que o aplicativo enviar. Como HttpOnly impede que os cookies sejam lidos por JavaScript, o navegador pode receber o cookie, mas ele não pode ser modificado no navegador. 

HttpOnly é um indicador adicional incluído no cabeçalho de resposta HTTP Set-Cookie. O uso do indicador HttpOnly ao gerar um cookie ajuda a reduzir o risco de um script do lado do cliente acessar o cookie protegido.

Habilitar certificados de usuários

Use esta configuração para permitir que a autenticação baseada em certificado use certificados digitais X.509 codificados por PEM para autenticar usuários individuais em sua organização.

Habilitar a proteção Clickjack

Você pode definir a proteção Clickjack de um site para um desses níveis.

  • Permitir enquadramento por qualquer página (sem proteção).
  • Permitir enquadramento somente pela mesma origem (recomendado).
  • Não permitir enquadramento por nenhuma página (maior proteção).

As comunidades do Salesforce têm duas partes de proteção Clickjack. Recomendamos que você defina as duas com o mesmo nível.

  • Site de comunidades Force.com (definido na página de detalhes do site Force.com)
  • Site de comunidades Site.com (definido na página de configuração de Site.com)

Exigir HTTPS

Essa configuração deve ser habilitada em dois locais. 

  • Habilite HSTS para sites e comunidades nas Configurações de sessão.
  • Habilite Exigir conexões seguras (HTTPS) nas configurações de segurança da comunidade ou do site do Salesforce.

Tempo limite da sessão

Convém definir um período de tempo limite curto se sua organização tiver informações confidenciais e você quiser reforçar a segurança.

Você pode definir valores, incluindo: 

  • Valor do tempo limite
  • Forçar o logout no tempo limite da sessão
  • Desativar o pop-up de aviso de tempo limite

Habilitar a proteção XSS (script entre sites)

Habilite a configuração da proteção XSS para proteger contra ataques de script entre sites refletidos. Se um ataque de script entre sites refletidos for detectado, o navegador mostrará uma página em branco, sem conteúdo. Se não houver conteúdo, os scripts não poderão ser usados para injetar ataques. 

Agora você viu como proteger sua organização com os recursos integrados do LWC. Na próxima unidade, veremos como o Shield ajuda você a proteger seus aplicativos.

Recursos

Continue a aprender de graça!
Inscreva-se em uma conta para continuar.
Inscrever-se Login
O que você ganha com isso?
  • Receba recomendações personalizadas para suas metas de carreira
  • Pratique suas habilidades com desafios práticos e testes
  • Monitore e compartilhe seu progresso com os empregadores
  • Conecte-se a orientação e oportunidades de carreira
Pular por enquanto