Faire appel d’un examen de sécurité ayant échoué¶
Cette rubrique décrit comment déposer un recours pour une application qui a échoué au processus d’examen de sécurité.
Lignes directrices pour faire un recours pour un examen de sécurité ayant échoué¶
Les directives suivantes s’appliquent au processus de recours en cas d’échec d’un examen de sécurité :
Avant de soumettre un recours pour un examen de sécurité échoué, consultez les politiques de sécurité décrites dans les rubriques suivantes :
Snowflake ne fournit pas d’informations sur les détails de l’analyse de sécurité d’une application.
Snowflake autorise un seul recours par correctif d’une application. Vous devez fournir toutes les informations concernant votre recours dans un seul dossier d’assistance. Snowflake rejette les recours ultérieurs pour le même correctif d’une application.
Si vous n’incluez pas toutes les informations requises dans le dossier d’assistance à votre recours, celui-ci peut être rejeté sans examen.
Soumettre un recours en cas d’échec d’un examen de sécurité¶
Pour soumettre un recours, vous devez déposer une demande d’assistance qui comprend les informations suivantes pour chaque champ :
Résumé : utilisez le format suivant dans le résumé du problème :
Appeal <App Name>, <Version>, <Patch>
Description : fournissez les informations suivantes dans la description du problème :
Informations sur l’application : nom de l’application, version, correctif
Motif(s) de rejet : collez le motif de rejet et le code situé dans Projects » App Packages
Renseignements requis pour faire appel du ou des rejets : identifiez le motif de votre rejet et incluez toutes les informations sous « Renseignements requis pour faire appel du rejet ».
Catégorie : sélectionner Administration générale
Sous-catégorie : sélectionner Autre
Gravité : 4
Tous les appels ont un délai de traitement de 3 à 5 jours ouvrables (du lundi au vendredi). Les tickets soumis avec une gravité plus élevée peuvent être rétrogradés au niveau de gravité 4.
Avertissement
Si vous ne fournissez pas les informations décrites ci-dessus, votre recours peut être rejeté sans examen.
Motifs de rejet et informations requises pour les recours¶
Il existe plusieurs raisons pour lesquelles une application peut échouer à l’examen de sécurité. Avant de déposer un recours, assurez-vous d’avoir examiné les sujets suivants :
Les raisons possibles d’un rejet sont les suivantes :
Tout le code de l’application doit être défini dans le paquet d’application.
Les dépendances et les bibliothèques ne doivent pas contenir de CVEs critiques ou élevées.
Une application ne peut pas stocker ou exiger que les secrets des clients soient en texte brut
Les applications doivent communiquer les privilèges requis au consommateur.
Les applications ne doivent demander que le minimum de privilèges possibles.
Le code de l’application doit être défini dans le paquet d’application¶
Les politiques de sécurité Snowflake requièrent que tout le code de l’application, y compris toutes les dépendances de la bibliothèque et le code d’installation, soit inclus dans la version de l’application définie dans le paquet d’application.
Raison du rejet
Votre application utilise du code qui n’est pas disponible pour révision dans le paquet d’application. Cela peut provenir d’un code qui existe dans une source extérieure au paquet d’application.
Comment résoudre ce problème
Mettez à jour l’application pour inclure tout le code requis par l’application dans le paquet d’application.
Un contexte supplémentaire est fourni dans le motif du rejet.
Informations requises pour faire appel du rejet
Si votre application importe des données provenant de l’extérieur du paquet d’application, cela peut entraîner le rejet de l’application. Cela peut provenir de tables non présentes dans le compte consommateur ou d’autres intégrations externes.
Veuillez fournir une liste de toutes les données importées par l’application et les détails sur l’utilisation des données.
Tout le code de l’application doit être non flouté¶
La politique de sécurité Snowflake requiert que tout le code de l’application soit non flouté, ce qui signifie que le code doit être lisible par l’homme. Cette exigence comprend le code JavaScript minifié.
Raison du rejet
Votre application inclut du code flouté qui n’a pas pu être examiné par Snowflake. Cela pourrait être dû à du JavaScript minifié ou à d’autres formes de floutage comme le chiffrement ou l’encodage. Veuillez mettre à jour l’application pour supprimer tout le code flouté.
Un contexte supplémentaire est fourni dans le motif du rejet.
Informations requises pour faire appel du rejet
Les appels ne sont autorisés que pour le JavaScript minifié. Veuillez fournir l’emplacement du fichier de carte source correspondant au fichier minifié JavaScript.
Les dépendances et les bibliothèques ne doivent pas contenir de CVEs critiques ou élevés.¶
La politique de sécurité de Snowflake implique que toutes les dépendances ou bibliothèques présentant des vulnérabilités et expositions critiques ou très communes (CVE) doivent être mises à jour vers une version sécurisée, si elle est disponible. Voir Considérations sur les vulnérabilités et les expositions courantes (CVE) pour plus d’informations sur l’identification de CVEs dans une Snowflake Native App.
Raison du rejet
Une application peut être rejetée si vous utilisez des composants qui ont des CVEs connues qui peuvent être nuisibles aux consommateurs si elle est exploitée. Les CVEs spécifiques dans votre application sont fournies dans la raison du rejet.
Différents outils peuvent détecter différents résultats en fonction de leur configuration, de leurs politiques internes et de la profondeur de l’analyse. Les outils de Snowflake sont configurés pour appliquer les politiques de Snowflake Marketplace. Snowflake peut identifier des CVEs que vous ne trouvez pas dans votre propre analyse de CVE.
Informations requises pour faire appel du rejet
Pour faire appel de ce rejet, vous devez fournir les informations suivantes :
Justification de la raison pour laquelle le CVE ne peut pas être exploité dans votre application.
Un rapport d’analyse d’accessibilité, si disponible.
Un plan pour une mise à jour de la version corrigée.
S’il n’existe aucun plan de mise à jour, fournissez une explication détaillée expliquant pourquoi une version vulnérable ne peut pas être mise à jour vers une version corrigée.
Une application ne doit pas stocker ni exiger de secrets clients en texte brut¶
La politique de sécurité Snowflake requiert que les applications ne stockent ou n’exigent pas que les secrets des clients soient en texte brut.
Raison du rejet
Ce résultat indique que certains secrets clients sont stockés en texte brut.
Un contexte supplémentaire est fourni dans le motif du rejet.
Informations requises pour faire appel du rejet
Si votre application stocke des secrets clients, vous devez fournir des détails sur les secrets stockés et leurs utilisations. Fournissez également des détails sur la manière dont les secrets sont stockés.
Prudence
N’incluez pas les secrets dans votre ticket d’assistance.
Les applications ne doivent pas contenir de fonctionnalités nuisibles à Snowflake, aux clients ou aux tiers¶
La politique de sécurité de Snowflake exige que les applications ne contiennent aucune fonctionnalité susceptible de nuire à Snowflake, à ses clients ou à des tiers.
Raison du rejet
Votre application contient des fonctionnalités que Snowflake considère comme nuisibles.
Informations requises pour faire appel du rejet
Les rejets pour cette raison ne peuvent pas faire l’objet d’un recours.
Les applications doivent communiquer les privilèges requis au consommateur¶
La politique de sécurité de Snowflake exige que les applications fournissent tous les privilèges requis par l’application sur tous les objets et toutes les intégrations d’API.
Raison du rejet
Ce rejet peut se produire lorsque l’application demande à un consommateur d’accorder des privilèges sur un objet sans communiquer au préalable les privilèges requis au consommateur.
Comment résoudre ce problème
Pour résoudre ce problème, vous devez fournir des informations sur les autorisations requises par l’application et les objets créés par l’application avant de demander au consommateur d’accorder des privilèges.
Informations requises pour faire appel du rejet
Pour faire appel de ce rejet, fournissez les informations suivantes dans votre ticket d’assistance :
Une liste de toutes les autorisations requises par l’application.
Une liste de tous les objets créés par l’application.
L’emplacement dans l’application où les privilèges sont divulgués au consommateur avant de lui demander d’accorder les privilèges.
Les applications ne doivent demander que le minimum de privilèges possibles¶
La politique de sécurité Snowflake requiert que les applications ne demandent que le minimum de privilèges nécessaires à leur fonctionnement.
Raison du rejet
L’application demande des autorisations étendues dans le compte consommateur. Par exemple, l’application demande la propriété d’une base de données alors que les autorisations d’utilisation pourraient être suffisantes.
Comment résoudre ce problème
Pour résoudre ce problème, modifiez votre application pour demander uniquement les privilèges minimaux requis pour que l’application fonctionne.
Informations requises pour faire appel du rejet
Pour faire appel de ce rejet, fournissez les informations suivantes dans votre ticket d’assistance :
Une liste de toutes les autorisations requises par l’application.
Une liste de tous les objets créés par l’application.
Une explication détaillée de l’utilisation de tous les privilèges au niveau du compte, des autorisations de propriété ou des demandes/autorisations de rôle d’administrateur.