Überlegungen zu gängigen Sicherheitslücken und Gefährdungen (Common Vulnerabilities and Exposures) (CVE)¶

Unter diesem Thema wird beschrieben, wie Snowflake die Kriterien für gemeinsame Sicherheitslücken und Gefährdungen (CVE) auf eine Snowflake Native App anwendet.

Über die CVE für eine Snowflake Native App¶

Gängige Sicherheitslücken und Gefährdungen (Common Vulnerabilities and Exposures, CVEs) sind öffentlich zugängliche Informationen über Sicherheitslücken in Softwareanwendungen und Systemen. Diese Sicherheitslücken können potenziell ausgenutzt werden und die Sicherheit der betroffenen Anwendungen gefährden.

Im Rahmen einer Snowflake Native App müssen Anbieter CVEs angehen, um die sichere Ausführung dieser Anwendungen innerhalb der Umgebung der Snowflake Daten-Cloud zu gewährleisten. Dies ist notwendig, um die Daten und Operationen von Snowflake-Kunden zu schützen. Während der Sicherheitsüberprüfung einer Snowflake Native App scannt Snowflake alle eingehenden Apps auf bekannte CVEs.

Warnung

Es ist möglich, dass nicht alle CVEs erkannt werden. Außerdem kann es sein, dass CVEs nicht dasselbe Risiko birgt oder von Snowflake nicht geahndet werden kann.

Der Zweck der CVE-Bewertungskriterien von Snowflake besteht darin, eine Reihe klarer und objektiver Kriterien für die Bewertung und Behebung bekannter CVEs in einer bei Snowflake eingereichten App festzulegen. Durch die Definition dieser Kriterien setzt Snowflake Prioritäten und mindert kritische Sicherheitsrisiken, während gleichzeitig der Aufwand für die Behebung weniger schwerwiegender Sicherheitslücken berücksichtigt wird. Diese Richtlinie leitet den Prozess zur Annahme oder Ablehnung einer App auf der Grundlage des CVE-Risikoprofils.

Diese CVE-Richtlinie gilt für alle eingehenden Apps, die den Sicherheitsüberprüfungsprozess von Snowflake durchlaufen. Es behandelt, wie CVEs, die in den Paketen und Abhängigkeiten einer App identifiziert werden, bewertet und behandelt werden. Diese Richtlinie wird während des Prozesses der Sicherheitsüberprüfung durchgesetzt, wie in Automatische Sicherheitsscans ausführen dokumentiert.

Dieser Prozess stellt sicher, dass nur Apps, die die definierten Kriterien erfüllen, für die Veröffentlichung und Verteilung an Verbraucher innerhalb der Umgebung der Snowflake Data Cloud freigegeben werden.

CVE-Bewertungskriterien¶

Snowflake verwendet die folgenden drei Kriterien, um bekannte Sicherheitslücken (CVEs) in einer Snowflake Native App zu bewerten und jede CVE zu überprüfen:

Die CVE hat eine bestätigte Korrektur
Die CVE hat einen hohen Einfluss auf die Integrität
Die CVE hat einen EPSS Wert von 10 Prozent oder höher

Unter Berücksichtigung dieser drei Kriterien entscheidet Snowflake, welche CVEs die größten Risiken darstellen und sofortige Korrekturen innerhalb einer App erfordern. Eine App wird abgelehnt, wenn sie Pakete mit einem CVE enthält, das die unten aufgeführten Kriterien erfüllt oder nicht entsprechend bereinigt ist.

Die CVE hat eine bestätigte Korrektur¶

Snowflake liefert verwertbare Informationen und berichtet nur über CVEs, für die eine Korrektur gemäß der National Vulnerability Database (NVD) bestätigt wurde. Dadurch wird sichergestellt, dass für die identifizierten Sicherheitslücken eine bekannte und verfügbare Lösung vorhanden ist, so dass die Entwickler sie effektiv beheben können.

Die CVE hat eine hohe Auswirkung auf die Integrität¶

Snowflake konzentriert sich auf CVEs mit einer hohen Integritätsauswirkung, wie durch das Common Vulnerability Scoring System (CVSS) definiert. Eine hohe Auswirkung auf die Integrität bedeutet einen totalen Verlust der Integrität oder einen vollständigen Verlust des Schutzes, der unbefugte Änderungen von Daten und/oder Datenmanipulationen ohne jegliche Einschränkungen ermöglicht. Anbieter müssen diese CVEs ansprechen, um die Sicherheit und Zuverlässigkeit unserer Cloud-Umgebung zu gewährleisten.

Die CVE hat einen EPSS Wert von 10 Prozent oder höher¶

Das Exploit Prediction Scoring System (EPSS) liefert eine Einschätzung, wie wahrscheinlich es ist, dass eine Software-Schwachstelle ausgenutzt wird, basierend auf Faktoren wie dem Alter, der Komplexität und den potenziellen Auswirkungen der Schwachstelle.

Snowflake lehnt eine App ab, wenn sie einen EPSS-Wert von zehn Prozent oder mehr hat. Dieser Schwellenwert wird auf der Grundlage der Analyse von Daten aktueller Apps festgelegt. Dieser Schwellenwert ermöglicht es Snowflake, Sicherheitslücken, die eine höhere Wahrscheinlichkeit haben, ausgenutzt zu werden, zu priorisieren und zu beheben, während gleichzeitig ein vernünftiges Maß an Risikotoleranz gewahrt bleibt.

Zusätzliche Informationen¶

Unter den folgenden Links finden Sie weitere Informationen zu den Prozessen und Richtlinien, die Snowflake bei der Bewertung der CVE-Sicherheitslücken für eine App anwendet: