Sicherheit bei GoMeddo: So reagieren wir auf die neuen Sicherheitsanforderungen von Salesforce

Bei GoMeddo ist Sicherheit kein nachträglicher Einfall. Sie ist fester Bestandteil unserer Produktentwicklung, -pflege und -weiterentwicklung. Als Salesforce kürzlich verbindliche Sicherheitsanforderungen für alle AppExchange-Partner ankündigte, haben wir uns sofort an die Arbeit gemacht. Hier erfahren Sie, was gerade passiert, warum dies wichtig ist und was wir dagegen unternehmen.

Was Salesforce verlangt

Salesforce verschärft die Sicherheitsanforderungen für alle Connected Apps (CAs) und External Client Apps (ECAs), die in Partneranwendungen auf AppExchange verwendet werden. Diese Änderungen sind für alle Partneranwendungen verbindlich, die in mehr als zwei Kundenproduktionsorganisationen ausgeführt werden, und müssen bis zum 11. Mai 2026 umgesetzt werden. Bei Nichteinhaltung dieser Anforderungen kann es dazu kommen, dass eine Partneranwendung aus dem AppExchange entfernt oder ihre Interoperabilität mit Salesforce-Diensten ausgesetzt wird.

‍

Die wichtigsten Anforderungen sind die Aktivierung von PKCE (Proof Key for Code Exchange) und die Rotation von Refresh-Token in allen verbundenen Apps und externen Client-Apps. Zwei weitere Anforderungen – die TTL für inaktive Refresh-Token und eine Zulassungsliste für IP-Adressbereiche für Refresh-Token – werden voraussichtlich ab dem 13. April 2026 konfigurierbar sein und müssen ebenfalls vor Ablauf der Frist umgesetzt werden.

‍

Hier geht es nicht um bürokratische Pflichtfelder. PKCE ist ein wichtiger Schutz vor Angriffen, bei denen Autorisierungscodes abgefangen werden, und die Rotation von Refresh-Tokens stellt sicher, dass Tokens nicht unbemerkt wiederverwendet werden können, falls sie jemals kompromittiert werden sollten. Zusammen stärken sie den OAuth-Ablauf erheblich, auf dem die Interaktion von GoMeddo mit Salesforce im Auftrag unserer Kunden basiert.

Was GoMeddo macht

Das Team von GoMeddo hat die Anforderungen sorgfältig geprüft und nun einen klaren Plan aufgestellt. Hier ist eine Zusammenfassung der Änderungen, die wir vornehmen.

‍

Zunächst aktualisieren wir unsere verbundenen Apps, sodass PKCE und die Rotation von Refresh-Token standardmäßig aktiviert sind. Dadurch wird sichergestellt, dass jeder GoMeddo-Kunde von diesen Sicherheitsmaßnahmen profitiert, ohne selbst etwas unternehmen zu müssen.

‍

Zweitens werden wir, sobald Salesforce die entsprechenden Einstellungen zur Verfügung stellt (voraussichtlich um den 13. April), unsere Apps so konfigurieren, dass sie die TTL für inaktive Aktualisierungstoken und die Zulassungsliste für IP-Adressbereiche von Aktualisierungstoken korrekt verarbeiten. Diese Einstellungen ermöglichen eine feinere Steuerung darüber, wie und wo Aktualisierungstoken verwendet werden können, wodurch die Angriffsfläche weiter verringert wird.

‍

Drittens, und aus technischer Sicht vielleicht am wichtigsten, nutzen wir diesen Moment, um unsere Umstellung von Paketen der ersten Generation (1GP) auf Pakete der zweiten Generation (2GP) zu beschleunigen.

‍

Dies ist eine bedeutende architektonische Veränderung. Pakete der zweiten Generation sind besser auf die modernen Standards der Salesforce-Plattform abgestimmt und unterstützen externe Client-Apps nativ.

‍

Der Umstieg auf ECAs bedeutet, dass wir nicht nur die heutigen Anforderungen erfüllen, sondern GoMeddo auch so aufstellen, dass es künftige Sicherheitsanforderungen leichter erfüllen kann, während sich die Salesforce-Plattform weiterentwickelt.

Was das für Sie als Kunde bedeutet

Die kurze Antwort lautet: vorerst nichts. Die Aktualisierungen werden vollständig von uns durchgeführt, und unser Ziel ist es, dass dieser Übergang völlig nahtlos verläuft.

Es wird jedoch empfohlen, auf die neuesten Versionen unserer Pakete zu aktualisieren, um von den aktuellen Sicherheitsverbesserungen und neuen Funktionen zu profitieren.

‍

Wir legen Wert auf Transparenz. Auch wenn wir derzeit keine unmittelbaren Maßnahmen Ihrerseits erwarten, stellt die Umstellung auf die Pakete der zweiten Generation eine bedeutende Plattformänderung dar, und es ist wahrscheinlich, dass wir unsere Kunden im Laufe der Zeit bitten müssen, im Rahmen dieses Übergangs bestimmte Schritte zu unternehmen.

‍

Wenn dieser Zeitpunkt gekommen ist, werden wir uns proaktiv mit Ihnen in Verbindung setzen und Ihnen klare Anweisungen, ausreichend Vorlaufzeit sowie Unterstützung bieten, um diesen Übergang reibungslos zu gestalten.

: Warum das wichtig ist

Es lohnt sich, einen Schritt zurückzutreten und sich vor Augen zu führen, warum Salesforce dies tut. Das AppExchange-Ökosystem genießt das Vertrauen von Hunderttausenden von Unternehmen weltweit.

‍

Dieses Vertrauen zu wahren, erfordert ständige Wachsamkeit, und die Bedrohungslage im Zusammenhang mit OAuth und der tokenbasierten Authentifizierung ist im Laufe der Zeit immer komplexer geworden. Diese neuen Anforderungen spiegeln die aktuellen Best Practices im Bereich der Anwendungssicherheit wider, und wir stehen voll und ganz hinter den damit verbundenen Zielen.

‍

Für GoMeddo ist dies ebenfalls eine Chance. Die Umstellung auf 2GP-Pakete und ECAs ist nicht nur eine Frage der Compliance. Sie bildet die Grundlage für eine robustere, wartungsfreundlichere und zukunftssichere Integration mit Salesforce, was letztlich eine bessere und sicherere Arbeitsumgebung für die Teams bedeutet, die täglich auf GoMeddo vertrauen.

‍

Wir halten Sie über den Fortschritt dieser Änderungen auf dem Laufenden. Wie immer gilt: Wenn Sie Fragen haben, wenden Sie sich bitte jederzeit an unser Support-Team.