Considérations sur les vulnérabilités et les expositions courantes (CVE)¶

Cette rubrique décrit comment Snowflake applique les critères de vulnérabilités et d’expositions courantes (CVE) à une Snowflake Native App.

À propos des CVE pour une Snowflake Native App¶

Les vulnérabilités et expositions courantes (CVEs) sont des informations divulguées publiquement sur les vulnérabilités de sécurité des applications et des systèmes logiciels. Ces vulnérabilités peuvent potentiellement être exploitées, compromettant la sécurité des applications affectées.

Dans le contexte d’une Snowflake Native App, les fournisseurs doivent répondre aux CVEs pour assurer l’exécution sécurisée de ces applications dans l’environnement cloud de données de Snowflake. Cela est nécessaire pour protéger les données et les opérations des clients Snowflake. Lors de l’examen de sécurité d’une Snowflake Native App, Snowflake analyse toutes les applications entrantes pour détecter les CVEs connues.

Avertissement

Il est possible que toutes les CVEs ne soient pas détectées. Aussi, les CVEs peuvent ne pas présenter le même niveau de risque ou peuvent ne pas être exploitables par Snowflake.

Les critères d’évaluation des CVE de Snowflake visent à établir un ensemble de critères clairs et objectifs pour évaluer et traiter les CVEs connues dans une application soumise à Snowflake. En définissant ces critères, Snowflake hiérarchise et atténue les risques de sécurité critiques, tout en tenant compte de l’effort requis pour traiter les vulnérabilités moins graves. Cette politique guide le processus d’acceptation ou de rejet d’une application en fonction du profil de risque des CVE.

Cette politique en matière de CVE s’applique à toutes les applications entrantes qui sont soumises au processus d’examen de sécurité de Snowflake. Elle explique comment les CVEs qui sont identifiées dans les paquets et les dépendances d’une application sont évaluées et traitées. Cette politique est appliquée pendant le processus d’examen de sécurité, comme indiqué dans Exécution de l’analyse de sécurité automatisée.

Ce processus garantit que seules les applications qui répondent aux critères définis sont approuvées pour la publication et la distribution aux consommateurs dans l’environnement cloud de données de Snowflake.

Critères d’évaluation des CVE¶

Snowflake utilise les trois critères suivants pour évaluer les vulnérabilités connues (CVEs) dans une Snowflake Native App et examiner chaque CVE :

La CVE a un correctif confirmé
La CVE a un impact élevé sur l’intégrité
La CVE a un score EPSS de 10 pour cent ou plus

En considérant ces trois critères, Snowflake décide laquelle des CVEs présente les risques les plus importants et nécessite des correctifs immédiats au sein d’une application. Une application est rejetée si elle contient des paquets avec une CVE qui répond aux critères ci-dessous ou qui n’est pas correctement assainie.

La CVE a un correctif confirmé¶

Snowflake fournit des informations exploitables et des rapports uniquement sur les CVEs qui ont un correctif confirmé selon la base de données nationale sur les vulnérabilités (NVD). Cela garantit que les vulnérabilités identifiées disposent d’une solution connue et disponible, permettant aux développeurs de les traiter efficacement.

La CVE a un impact élevé sur l’intégrité¶

Snowflake se concentre sur les CVEs avec un impact élevé sur l’intégrité, tel que défini par le Common Vulnerability Scoring System (CVSS). Un impact d’intégrité élevé indique une perte totale d’intégrité ou une perte complète de protection, permettant des modifications non autorisées des données et/ou une falsification des données sans aucune contrainte. Les fournisseurs doivent répondre à ces CVEs pour assurer la sécurité et la fiabilité de notre environnement cloud de données.

La CVE a un score EPSS de 10 pour cent ou plus¶

Le système de notation des prédictions d’exploitation (EPSS) fournit une estimation de la probabilité qu’une vulnérabilité logicielle soit exploitée en fonction de facteurs tels que l’âge, la complexité et l’impact potentiel de la vulnérabilité.

Snowflake rejette une application si elle a un score EPSS de dix pour cent ou plus. Ce seuil est déterminé sur la base de l’analyse des données des applications actuelles. Ce seuil permet à Snowflake de hiérarchiser et de traiter les vulnérabilités qui ont une probabilité plus élevée d’être exploitées, tout en maintenant un niveau raisonnable de tolérance au risque.

Informations supplémentaires¶

Les liens suivants fournissent plus d’informations sur les processus et les politiques utilisés par Snowflake lors de l’évaluation des CVE vulnérabilités pour une application :