はじめに
前回、アプリ申請まででしたのですが、要はリジェクトされて帰ってきたので、その要点と対応をまとめていきます。
返信された内容はこんな感じできていました。
Hello ○○○○,
Thanks for your patience during our review process! We've reviewed CotoGoto for Noby and have some notes on > the submission.
You can jump straight to our notes here (https://api.slack.com/apps/xxxxxxxxxxx/app-submission).
If you have questions about any of our feedback, just reply to this message and we'll see it!
The App Directory Team
まあ、リンク先に申請のチェックにコメントを書いたので、対応してね。っことでした。
一つ目の対応
リクエストする理由と、アプリのコンテキスト内で各スコープを個別に使用する方法について、より詳細な情報を提供してください。
これは、詳細に書くしかないですね。なおします。
大分詳細に直したけど、大丈夫かな?
二つ目の対応
テストでは、livlog.xyz、app.cotogoto.ai、およびlivlog.jpがTLS1.0および1.1をサポートしているようです。これらのプロトコルのサポートを無効にしてください。
TLS1.2以降に対応していたのですが、こちらもTLS1.0,1.1の設定が残っており、セキュリティの問題もあるので、全てのサーバでTLS1.2以降のみを残すようにサーバ変更しました。
サーバの設定なので、Apacheを触ったり、Cloudflareを設定したりしました。
CloudflareのSSLの対応TLS1.0からがデフォルトになっていましたね。
三つ目の対応
Slackロゴの古いバージョンがサポートページで使用されています:https://livlog.jp/cotogoto-slack/。これを更新してください。
確かにフリー素材でSlackのやつあったので、使ったけど、確かに古いやつだったもんなー。
なので、最新のロゴ版のキャッチ画像を作りました。
四つ目の対応
ランディングページに、アプリを構成して使用するための明確な指示が含まれていることを確認してください(たとえば、アプリのどの部分がSlackでメッセージをトリガーするか、ボットがどのコメントに応答するか)。
こちらもランディングページの解説を詳細にわかるように修正しました。
五つ目の対応
プライバシーポリシーは英語ではご利用いただけませんので、人間が翻訳した英語版をお送りください。これは、提出物の返送時に受信した電子メールに添付できます。
こちらはプライバシーポリシーを翻訳したものを添付して返します。
六つ目の対応
アプリがSlackを個人の顧客データに接続するときに、アプリのOAuthフローが、認証しているユーザーに固有の値を渡す状態パラメーターを使用していることを確認してください。
チームでログインしていない場合は会話だけできるようにしましたが、そちらを廃止して、認証を促すように変更しました。
こちらはstateコードが任意なのですが、個人情報を扱う場合は必須になります。
七つ目の対応
「データ保持ポリシー」、「データアーカイブ/削除ポリシー」、および「データストレージポリシー」フィールドに、ポリシーが何であるかを明示的に記述してください。さらに、「アプリが機能するために必要なサードパーティの認証/接続はありますか?」に、アプリに必要なサードパーティの認証/接続を記載してください。
こちらはデータ保持ポリシーをまとめて各項目に記載をしました。
まとめ
指摘箇所はすべて対応し再度、申請を出してみました。
結果はどうなることやら。
またまだ、続くのはかまた今度まとめてみます。