Gewährleistung der Sicherheit von Erweiterungen und benutzerdefiniertem Code

Wenn Sie Adobe Commerce erweitern, indem Sie Erweiterungen von Drittanbietern aus dem Adobe Commerce Marketplace hinzufügen, oder benutzerdefinierten Code hinzufügen, stellen Sie die Sicherheit dieser Anpassungen sicher, indem Sie die folgenden Best Practices anwenden:

Checkliste Wählen Sie einen Partner oder Lösungsintegrator (SI) aus, der sich gut mit Sicherheit auskennt - Stellen Sie sichere Integrationen und die sichere Bereitstellung von benutzerdefiniertem Code sicher, indem Sie Organisationen auswählen, die sichere Entwicklungspraktiken befolgen und nachweislich Sicherheitsprobleme verhindern und beheben.

Checkliste Sichere Erweiterungen verwenden - Ermitteln Sie die am besten geeigneten und sichersten Erweiterungen für Commerce-Bereitstellungen, indem Sie sich mit Ihrem Lösungsintegrator oder -entwickler in Verbindung setzen und die Best Practices für Adobe-Erweiterungen befolgen.

  • Nur Quellerweiterungen vom Adobe Commerce Marketplace oder über den Lösungsintegrator. Wenn die Erweiterung von einem Integrator bezogen wird, stellen Sie sicher, dass das Eigentum an der Erweiterungslizenz übertragbar ist, falls der Integrator wechselt.

  • Verringerung des Risikos durch Begrenzung der Anzahl von Erweiterungen und Anbietern.

  • Überprüfen Sie nach Möglichkeit den Erweiterungs-Code auf Sicherheit, bevor Sie ihn mit dem Commerce-Programm integrieren.

  • Stellen Sie sicher, dass die Entwickler von PHP-Erweiterungen die Entwicklungsrichtlinien, Prozesse und Best Practices für die Sicherheit von Adobe Commerce befolgen. Insbesondere müssen Entwickler die Verwendung von PHP-Funktionen vermeiden, die zu entfernter Code-Ausführung oder schwacher Kryptografie führen können. Siehe Sicherheit im Best Practices für die Entwicklung von Erweiterungen.

Checkliste Prüfcode - Überprüfen Sie Ihr Server- und Quell-Code-Repository auf Entwicklungsreste. Stellen Sie sicher, dass es keine zugänglichen Protokolldateien, öffentlich sichtbaren Git-Verzeichnisse, Tunnel zum Ausführen von SQL-Anweisungen, Datenbank-Dumps, PHP-Info-Dateien oder andere ungeschützte Dateien gibt, die nicht erforderlich sind und bei einem Angriff verwendet werden könnten.