Atualizações críticas e de segurança

Essa versão inclui novas atualizações críticas para formatação de localidade, métodos do Apex @AuraEnabled, ações e outras alterações. Confira também atualizações na página Atualizações de segurança e atualizações críticas já lançadas e aplicadas recentemente.

Para garantir uma transição sem problemas, cada atualização crítica tem um período de adesão opcional que termina na data da ativação automática exibida na página Atualizações críticas em Configuração. Durante esse período, você pode ativar e desativar manualmente cada atualização quantas vezes precisar para avaliar o impacto sobre a sua organização e modificar as personalizações afetadas. Após o período de adesão, a atualização é ativada permanentemente pelo Salesforce. Para ver mais detalhes, consulte Responder a atualizações críticas.

A página Atualizações de segurança em Configuração apresenta uma lista de atualizações de segurança que afetam sua organização. Cada atualização vem com recomendações passo a passo para ações a serem adotadas em sua organização.

Novas atualizações críticas

Estas atualizações críticas são novas na versão Winter '20.

Habilitar formatos de localidade de ICU (atualização crítica)
Para ajudá-lo a fazer negócios onde quer que esteja, estamos adotando os formatos de Componentes internacionais para unicode (ICU) para datas e horas. Esses novos formatos substituem os formatos do Kit de desenvolvimento Java 8 da Oracle (JDK8). O ICU define o padrão internacional para esses formatos para todas as localidades. Os novos formatos fornecem uma experiência consistente na Salesforce Platform e melhora a integração com os aplicativos em conformidade com o ICU em todo o mundo.
Restringir o acesso a métodos do Apex @AuraEnabled para usuários convidados e do portal com base no perfil do usuário (atualização crítica)
Essa atualização proporciona maior controle sobre quais usuários convidados e do portal podem acessar classes do Apex contendo métodos @AuraEnabled.
Restringir o acesso a métodos do Apex @AuraEnabled para usuários autenticados com base no perfil do usuário (atualização crítica)
Essa atualização proporciona maior controle sobre quais usuários autenticados podem acessar classes do Apex contendo métodos @AuraEnabled.
Usar "with sharing" em controladores @AuraEnabled do Apex com compartilhamento implícito (atualização crítica)
Esta atualização crítica altera o comportamento de controladores @AuraEnabled do Apex que não especificam with sharing ou without sharing para with sharing por padrão.
Aplicar modificadores de acesso em propriedades do Apex na marcação de componente do Lightning (atualização crítica)
Essa atualização crítica torna os componentes do Lightning consistentes com o uso de propriedades do Apex em outros contextos. Por exemplo, uma expressão de marcação não pode mais acessar uma propriedade do Apex com um getter do Apex privado.
Rotear meus domínios por meio do Salesforce Edge (atualização crítica)
Estamos acelerando solicitações de domínio para Meus domínios. Com essa atualização, você mantém o mesmo endereço Meu domínio, mas as solicitações passam pelo Salesforce Edge. O Salesforce Edge usa tecnologia de aprendizado de máquina para melhorar a conectividade e o desempenho. Você pode confirmar essa atualização para permitir que o Salesforce mova o Meu domínio da sua organização para o novo serviço antes da data de ativação automática em julho de 2020.
Migrar políticas legadas para a estrutura de segurança de transação aprimorada (atualização crítica)
Com a nova estrutura da política de segurança de transação aprimorada do Salesforce, você pode criar políticas de segurança da transação que executam ações em qualquer objeto padrão ou personalizado. Agora que a nova estrutura está disponível ao público em geral, estamos descontinuando a estrutura legada na versão Summer '20. Para se preparar para essa descontinuação e aproveitar os novos recursos, migre suas políticas de segurança da transação legadas para a nova estrutura assim que possível.
Habilitar salvamento parcial para ações invocáveis (atualização crítica)
Essa atualização crítica melhora os comportamentos e os efeitos de quaisquer ações invocáveis com falha. Afeta apenas as chamadas de API REST externas para ações invocáveis realizadas em massa. Com essa atualização, ao invocar um conjunto de ações em uma única solicitação, uma única ação invocável com falha não causará mais a falha de toda a transação. Sem essa atualização, se uma única ação invocável falhar, outras ações invocáveis dentro da transação serão revertidas e toda a transação falhará.
Exigir uma implantação e mostrar as ações certas (atualização crítica)
Essa atualização exige que você selecione uma implantação para o componente Ações e recomendações. Quando você configura o Lightning Flow para serviço, uma implantação permite que você controle as ações que os agentes podem iniciar quando precisam de uma ação que não aparece na lista de tarefas do componente.
Exigir permissão Personalizar aplicativo para acesso de leitura direto para tipos de metadados personalizados (atualização crítica)
Usuários sem a permissão Personalizar aplicativo podem ler tipos de metadados personalizados desprotegidos usando APIs diferentes que são fornecidas pelo Salesforce. Após a abordagem "seguro por padrão", o acesso de leitura para usuários que não têm a permissão Personalizar aplicativo é revogado com essa atualização. Essa alteração afeta páginas do Visualforce e componentes do Lightning que fazem referência diretamente a tipos de metadados personalizados. Para tipos de metadados personalizados, um administrador pode explicitamente conceder acesso a um perfil ou conjunto de permissões específico.
Continuar trabalhando com diálogos focados em guia (atualização crítica)
Em aplicativos de console do Lightning, os diálogos não o impedem mais de interagir com o restante da interface do usuário. Essa atualização crítica limitada o foco dos diálogos acionados por uma guia ou subguia do espaço de trabalho a apenas a guia que os acionaram.

Atualizações críticas liberadas anteriormente

Essas atualizações críticas foram anunciadas em uma versão anterior e continuam disponíveis.

Ativar o compartilhamento de conta manual no gerenciamento de território Enterprise (atualização crítica anteriormente liberada)
Essa atualização altera o código de motivo TerritoryManual nos registros de AccountShare para Territory2AssociationManual e ela é necessária para permitir que os usuários compartilhem contas manualmente com grupos de território. Essa atualização crítica foi disponibilizada inicialmente na versão Spring '19.
Impedir a criação de expressões de função em componentes do Aura criados dinamicamente (atualização crítica liberada anteriormente)
Para melhorar a segurança e a estabilidade, essa atualização crítica impede que valores de atributo passados para $A.createComponent() ou $A.createComponents() sejam interpretados como expressões de função do Aura. Essa atualização crítica foi disponibilizada inicialmente na versão Summer '19.
Estabilizar o nome de host para URLs do Meu domínio em sandboxes (atualização crítica liberada anteriormente)
Estamos removendo nomes de instância de URLs de MyDomain para sandboxes. O nome de instância identifica onde sua organização de sandbox do Salesforce está hospedada. Remover o nome da instância torna o URL mais limpo e fácil para os usuários lembrarem, por exemplo, MyDomain--NomedoSandbox.my.salesforce.com substitui MyDomain--NomedoSandbox.cs5.my.salesforce.com. Essa atualização crítica foi disponibilizada inicialmente na versão Summer '18.
Remover nomes de instância de URLs para Visualforce, Community Builder, Site.com Studio e arquivos de conteúdo (atualização crítica liberada anteriormente)
Estamos removendo nomes de instância do Visualforce, do Community Builder, do Site.com Studio e de URLs de arquivo de conteúdo. Um nome de instância identifica onde sua organização do Salesforce está hospedada. Domínios sem instância são mais limpos e fáceis para os usuários lembrarem. Esta atualização crítica se aplica a organizações que têm um Meu domínio implantado. Após esta atualização, um URL que inclua um nome de instância, como um Indicador de entidade, redirecionará automaticamente para o novo nome de host. Essa atualização crítica foi disponibilizada inicialmente na versão Spring '18.

Atualizações críticas aplicadas

Essas atualizações críticas foram anunciadas em uma versão anterior e agora foram aplicadas.

Ativar a atualização crítica do Lightning Experience agora ativa a partir de 7 de janeiro de 2020
Antes, anunciamos que essa atualização crítica seria ativada com a versão Winter '20. Por excesso de zelo, decidimos adiar a ativação automática desta atualização. Ela agora será ativada para sua organização dentro de 72 horas em 7 de janeiro de 2020.
Restringir o uso de modelos de email baseados em HTML do Salesforce Classic aos navegadores seguros (atualização crítica, imposta)
Restringir o uso de modelos de email baseados em HTML do Salesforce Classic foi uma atualização crítica na versão Summer '18 e imposta na versão Winter '20. Essa atualização crítica evita o uso de modelos de email baseados em HTML, como modelos personalizados, do Visualforce ou HTML padrão, ao acessar o Salesforce usando o Microsoft Internet Explorer. O Internet Explorer não oferece suporte à Política de segurança de conteúdo (CSP) do Salesforce e, portanto, não pode fornecer a proteção de navegador necessária. Recomendamos utilizar um navegador com suporte a CSP, como Microsoft Edge, Google Chrome ou Mozilla Firefox.
Melhorar a segurança de email com chaves DKIM remodeladas (atualização crítica, imposta)
Melhorar a segurança de email com chaves DKIM redesignadas foi uma atualização crítica na versão Winter '19 e é imposta na versão Winter '20. Para tratar de possíveis vulnerabilidades de segurança com chaves Correio identificado de DomainKeys (DKIM), melhoramos a maneira como elas são criadas. Você não precisa mais trabalhar com chaves públicas e privadas. Em vez disso, o Salesforce publica o registro TXT contendo sua chave pública para DNS. Também adicionamos rotação automática de chaves para reduzir o risco de as suas chaves serem comprometidas por um terceiro. Chaves geradas por meio do método antigo continuam funcionando, porém, na versão Winter '20, quando você gera novas chaves, deve usar o método mais seguro. Uma vez que o compartilhamento de chaves pode introduzir vulnerabilidades de segurança, removemos a habilidade de importar chaves DKIM.
Exigir TLS 1.2 para conexões HTTPS (atualização crítica, imposta)
Exigir TLS 1.2 para conexões HTTPS foi uma atualização crítica na versão Summer '19 e imposta em 25 de outubro de 2019. Para manter os mais altos padrões de segurança e promover a segurança de seus dados, a Salesforce está desabilitando o protocolo de criptografia Transport Layer Security (TLS) 1.1 mais antigo. Todas as conexões de entrada ou saída de sua organização do Salesforce devem usar TLS 1.2. Verifique se o acesso do seu navegador, as integrações de API e outros recursos do Salesforce estão em conformidade com TLS 1.2.
Requer TLS 1.2 para conexões HTTPS em comunidades e sites (atualização crítica, imposta)
Exigir TLS 1.2 para conexões HTTPS em comunidades e sites foi uma atualização crítica na versão Summer '19 e imposta em 25 de outubro de 2019. Para manter os mais altos padrões de segurança e promover a segurança de seus dados, a Salesforce está desabilitando o protocolo de criptografia Transport Layer Security (TLS) 1.1 mais antigo. Todas as conexões de entrada ou saída de comunidades, sites e portais de comunidades do Salesforce devem usar TLS 1.2. Verifique se o acesso do seu navegador, as integrações de API e outros recursos do Salesforce estão em conformidade com TLS 1.2.
Usuários apenas de API podem acessar somente APIs do Salesforce (atualização crítica, imposta)
Usuários apenas de API podem acessar somente APIs do Salesforce foi uma atualização crítica na versão Spring '19 e imposta na versão Winter '20. Essa atualização crítica garante que, se tiver a permissão Usuário somente de API, ele poderá acessar o Salesforce apenas por meio de APIs, independentemente de outras permissões que tenha.
Bloquear determinados campos no registro do usuário para organizações com comunidades e portais (atualização de segurança e crítica, imposta)
A Salesforce está dando aos clientes a opção de habilitar uma configuração do usuário que permite ocultar determinados campos de informações pessoais nos registros do usuário em organizações com comunidades e portais. Os campos são ocultos da visualização quando usuários externos estão acessando registros do usuário. Os usuários externos ainda podem ver os próprios registros do usuário.
Restringir o uso de perfis externos padrão para autorregistro e atribuição a usuários (atualização crítica e de segurança, imposta)
Essa atualização restringe o uso de perfis externos padrão para autorregistro e atribuição a usuários.

Atualizações críticas adiadas

Essas atualizações críticas foram anunciadas em uma versão anterior e a data de ativação automática foi adiada.

Desativar o acesso a métodos não globais de controlador do Apex em pacotes gerenciados (atualização crítica, adiada)
A ativação automática dessa atualização crítica, lançada na versão Summer '17, estava programada para a versão Winter '20, mas foi adiada para Spring '20. A atualização crítica corrige os controles de acesso nos métodos de controlador do Apex em pacotes gerenciados. Quando essa atualização é ativada, somente métodos marcados com o modificador de acesso global podem ser acessados por componentes do Aura de fora do namespace do pacote. Esses controles de acesso evitam o uso de métodos de API incompatíveis que o autor do pacote não pretendia disponibilizar para acesso global.
Verificar variáveis de registro nulo ou valores nulos de campos de relacionamento de pesquisa em fórmulas de fluxo e processo (atualização crítica, adiada)
Essa atualização crítica, lançada na versão Spring '19, havia sido programada para ativação automática na versão Summer '19, mas foi adiada para a Spring '20. A atualização crítica era chamada anteriormente de "Retornar valores nulos em fórmulas de fluxo e processo".
Ativar cache aprimorado do esquema da organização (atualização crítica, adiada)
Essa atualização crítica foi programada para ativação automática na versão Summer '19, mas foi adiada para a versão Spring '20. Essa atualização crítica ativa o cache aprimorado de detalhes do esquema da organização e resolve problemas conhecidos com o gerenciamento de campos e objetos específicos da versão.
Requer acesso do usuário a classes do Apex invocadas por fluxo (atualização crítica, adiada)
A ativação automática dessa atualização crítica, lançada na versão Summer '19, estava programada para a versão Winter '20, mas foi adiada para a Spring '21. A atualização crítica antes chamava-se "Melhorar a segurança exigindo acesso do usuário a classes do Apex invocadas por fluxo".
Exigir permissão Personalizar aplicativo para acesso de leitura direto para configurações personalizadas (atualização crítica, adiada)
Essa atualização crítica será imposta a partir de 3 de janeiro de 2020 como parte da versão Spring '20 (originalmente planejada para 6 de setembro de 2019, mas adiada).

Atualizações críticas descontinuadas

Essas atualizações críticas foram anunciadas em uma versão anterior, mas foram descontinuadas. Elas foram removidas do Console de atualizações críticas e não serão ativadas.

Usar "without sharing" para controladores @AuraEnabled do Apex com compartilhamento implícito (atualização crítica, descontinuada)
A ativação automática dessa atualização crítica, lançada na versão Spring '18, estava programada para a versão Winter '20, mas foi descontinuada.

Novas atualizações de segurança

Estas atualizações de segurança são novas na versão Winter '20.

Atribuir automaticamente registros criados por usuários convidados a um proprietário padrão (atualização de segurança)
Para aumentar a segurança de seus dados do Salesforce, configure sua organização para que os usuários convidados não sejam mais os proprietários dos registros criados de forma automática. Em vez disso, quando um usuário convidado cria um registro, o registro é atribuído a um usuário ativo padrão na organização, que se torna o proprietário.
Ver todos os usuários e outras permissões desativados em perfis de usuário convidado (atualização de segurança)
Usuários convidados em geral não precisam de acesso para ver todos os usuários em uma organização do Salesforce, assim, para promover a segurança dos dados, desativamos a permissão Visualizar todos os usuários nos perfis de usuário convidado. Se você tiver uma organização criada antes da versão Winter '20, recomendamos verificar o acesso do usuário convidado e desmarcar a permissão Visualizar todos os usuários em seus perfis de usuário convidado. Para aprimorar a segurança, também removemos essas permissões do perfil de usuário convidado: Pode aprovar a publicação de feed e comentários, ativar a arquitetura em nível de interface do usuário, remover pessoas de mensagens diretas, visualizar tópicos e enviar email não comercial.
Proteger o modelo de compartilhamento e padrões organizacionais dos usuários convidados (atualização de segurança)
Para aumentar a segurança de seus dados do Salesforce, estamos impondo padrões organizacionais privados para usuários convidados. Também estamos restringindo os mecanismos de compartilhamento que você pode usar para conceder acesso a registro a usuários convidados. Se você tiver uma organização criada antes da versão Winter '20, é recomendável revisar os padrões organizacionais externos, os grupos públicos, as filas e o compartilhamento manual que você usa para conceder acesso a usuários convidados. Então substitua o acesso concedido anteriormente por esses mecanismos de compartilhamento com regras de compartilhamento de usuário convidado antes da aplicação da atualização de segurança.