FROM CACHE - jp_header

自社が提供する Shopify アプリへの脆弱性テスト

解決済
tmd45
Shopify Partner
11 2 9

自社が提供している Shopify アプリに対して、脆弱性検査(アプリケーションテスト)をしたいと考えています。

このとき意図的に XSS 試行や、SQL インジェクションなどの攻撃的なリクエストを行う可能性があるのですが、Shopify プラットフォーム上でそのようなテストのリクエストは許容されますか?
連続してそのような攻撃的なリクエストを発生させたときに、なんらかの制限が発生しないか懸念しています(Rate Limit の存在は認識しています)。

実施できるとしたら Embedded App、ストアフロントへの機能追加 両方を対象にしたいのですが、不可であれば不可なりに検証方法を考えたいと思っています。

※Shopify プラットフォームを介した状態での ネットワーク負荷テスト、DDoS シミュレーション などの負荷テストを行う予定はありません。

あるいは他社で実施されたような実績をお持ちのところはありますか?(こういうところに気をつけてやったよ、など)

Developers ドキュメントでは言及されているものが見つからず
他社でもアプリ提供にあたりこのような検査を行うことがあるのではないかと考え、フォーラムでお伺いしてみました。

よろしくお願いします。

1 件の受理された解決策

ベストソリューション
junichiokamura
Community Manager
Community Manager
1162 272 479

成功

こちらのAPI利用規約に抵触しないことであれば大丈夫です。

https://www.shopify.com/legal/api-terms

APIを利用したShopifyへの負荷テストは上記で禁止されていたと思います。

アプリ単体で、ShopifyのAPIに関係しない方法で実施するテストは問題ないかと思います。

Technical Partner Manager, Japan

元の投稿で解決策を見る

2件の返信2
junichiokamura
Community Manager
Community Manager
1162 272 479

成功

こちらのAPI利用規約に抵触しないことであれば大丈夫です。

https://www.shopify.com/legal/api-terms

APIを利用したShopifyへの負荷テストは上記で禁止されていたと思います。

アプリ単体で、ShopifyのAPIに関係しない方法で実施するテストは問題ないかと思います。

Technical Partner Manager, Japan
tmd45
Shopify Partner
11 2 9

Shopify API License and Terms of Use(2021/3/16 時点)に以下のように記載がありましたので

Make sure your developer system meets internet security standards. Don’t do anything criminal, irresponsible or sketchy, or disrupt or overburden our systems. 

開発者のシステムがインターネットのセキュリティ基準を満たしていることを確認してください。犯罪的、無責任、大雑把なことをしたり、私たちのシステムを混乱させたり、過剰な負担をかけたりしないでください。

こちらに準拠するよう対応します。

ご回答ありがとうございました。