Solución:
Aquí están tus respuestas:
-
Salesforce tiene una licencia para ejecutar escáneres Checkmarx en las instalaciones para escanear código de terceros. El código nunca sale de Salesforce: se extrae de la organización en la que reside su código para las instancias de Checkmarx que se ejecutan en nuestros servidores. Gestionamos estas instancias, pero debajo hay un motor de escáner Checkmarx. Los resultados solo se envían a la dirección de correo electrónico registrada para el nombre de usuario, y solo un usuario con permiso de autor en una organización puede escanear el código de la organización. Debido a esto, a veces se puede retener un escaneo si
-
su organización deshabilita el acceso a la API (usamos la API de metadatos para extraer el código de su organización)
-
su instancia está inactiva para servicio / actualización (volveremos a intentar automáticamente en este caso después de un retroceso)
-
su cuenta de usuario es nueva y no se ha replicado en todas las instancias
-
-
Según nuestra licencia con Checkmarx, puede escanear 3 veces por revisión de seguridad. No hay un límite de tiempo para esto: si envía 10 revisiones por mes (digamos que es un PDO), entonces puede escanear hasta 30 veces. Si no está buscando una revisión de seguridad, puede escanear 30,000 líneas de código por mes.
-
Actualmente, imponemos requisitos de limitación adicionales: ninguna empresa (verificada por el dominio de correo electrónico de resultados) puede tener más de un trabajo en la cola a la vez. No puede escanear más de 500.000 líneas de código por trabajo. Estos requisitos no son contractuales, sino que tienen como objetivo maximizar el rendimiento del escáner y reducir los tiempos de espera para la mayoría de los clientes. Como resultado, estos requisitos están sujetos a cambios a medida que agreguemos más capacidad o que cambie la demanda del escáner.
Si tiene problemas, presente un caso de asistencia. No envíe preguntas sobre el escáner a [email protected] oa cualquier lista de correo.
No indican explícitamente en qué formato ejecutan el escáner, pero me sorprendería mucho que Salesforce no tuviera su propio servidor checkmarx en su red interna que realiza el escaneo. En otras palabras, es muy probable que sea un servidor bajo el control de Salesforce, pero ejecutando la aplicación checkmarx en él.
Si está realmente preocupado por dónde se envía el código, puede preguntarles, ya me han respondido en Twitter a través de la cuenta @SecureCloudDev, y también tienen un programa de horario de oficina disponible para preguntas y respuestas.
Según su ayuda, los únicos límites de tarifas son:
no más de 3 escaneos por revisión de seguridad y no más de 30,000 líneas de código escaneadas por mes
Esto me parece bastante extraño y probablemente no se aplique, especialmente porque puede enviar escaneos no relacionados con una revisión de seguridad específica, y hay un límite anteriormente mencionado de 500k líneas de código por organización. Como no puede especificar los componentes que se analizarán, no veo ninguna forma lógica de conciliar estos puntos. Nunca he alcanzado este límite en la práctica.
Eche un vistazo a ese documento de ayuda para otras consideraciones, pero agregaré una: cuanto más grande sea su base de código, más tiempo llevará escanear, y el esfuerzo aumenta de manera no lineal: un escaneo de 20k líneas es mucho más del doble de rápido que un escaneo de 40k líneas.
Si se está sometiendo a una revisión de seguridad, iniciaría un escaneo ahora, incluso antes de que comience la revisión. ¡No hay razón para no hacerlo!