Exigences et directives de sécurité pour une Snowflake Native App

Cette rubrique fournit un aperçu des exigences et des directives de sécurité lors du développement d’une Snowflake Native App. Elle fournit également des informations générales sur le processus automatisé d’analyse et de révision de sécurité lors de la publication d’une application destinée aux consommateurs.

Prudence

Il vous incombe de veiller à ce qu’aucunes données personnelles, sensibles, données contrôlées à l’exportation, ou autres données réglementées ne soient saisies dans des fichiers inclus dans votre paquet d’application.

Aperçu des exigences de sécurité d’une Snowflake Native App

La Snowflake Native App Framework fournit des exigences de sécurité et des meilleures pratiques que les fournisseurs doivent suivre lors du développement d’une Snowflake Native App. Pour connaître les exigences de sécurité et les meilleures pratiques pour une application, consultez Exigences de sécurité et bonnes pratiques pour une Snowflake Native App. Pour connaître les exigences de sécurité pour une application avec des conteneurs, consultez Sécuriser une Snowflake Native App with Snowpark Container Services.

Pour publier une application auprès des consommateurs, soit sous forme d’annonce privée, soit sur la Marketplace Snowflake, Snowflake met en œuvre un processus d’examen de sécurité qui nécessite une analyse de sécurité des composants d’une application. Si une application ne passe pas l’examen de sécurité automatisé, un examen manuel a lieu.

Toutes les applications publiées auprès des consommateurs doivent réussir cet examen de sécurité.

Risques potentiels pour la sécurité

Voici quelques-uns des risques de sécurité possibles qui peuvent survenir lors de l’exécution d’une application :

  • Exfiltration de données :

    Les applications malveillantes pourraient copier les données des consommateurs vers des fonctions ou des journaux externes.

  • Abus informatique :

    Les applications pourraient effectuer des tâches non autorisées, telles que le cryptomining, aux frais du consommateur.

  • Ransomware

    Les applications pourraient crypter ou corrompre les données des consommateurs, exigeant un paiement pour leur restauration.

  • Élévation des privilèges :

    Les applications pourraient tenter d’obtenir des autorisations non autorisées sur le compte de l’utilisateur.

Pour atténuer ces risques de sécurité et d’autres risques potentiels, la Snowflake Native App Framework utilise un examen de sécurité pour évaluer les risques de sécurité d’une application et pour garantir les meilleures pratiques de sécurité.

Examens de sécurité automatisés

Pour atténuer les risques potentiels de sécurité, Snowflake utilise Native App Anti-Abuse Pipeline Service (NAAAPS). Ce service analyse automatiquement toutes les nouvelles versions d’applications à l’aide de divers outils pour déterminer si une application peut être distribuée aux consommateurs.

Cet examen de sécurité automatisé se produit lorsqu’une nouvelle version ou un nouveau correctif d’une application est créé. Cet examen effectue les tâches suivantes :

  • Copie l’application sur un compte Snowflake dédié utilisé pour analyser les applications.

  • Analyse les fichiers associés à l’application et met à jour le statut de la révision de sécurité.

  • Approuve automatiquement l’application ou lance un examen manuel de l’application.

Snowflake envoie des notifications de rejet automatiques pour réduire le temps pendant lequel un fournisseur doit attendre une réponse. Au cours du processus de révision manuelle, une application peut être approuvée ou rejetée.

Scanners et outils utilisés lors d’un examen de sécurité

L’examen de sécurité automatisé utilise les scanners et outils suivants pour effectuer les opérations suivantes afin d’analyser différents composants d’une application :

  • Analyser le code à la recherche de bogues, d’anti-modèles et de vulnérabilités de sécurité dans le code.

  • Analyser le code pour détecter les logiciels malveillants.

  • Identifier les vulnérabilités dans les dépendances des applications.

Les processus aident à détecter divers problèmes de sécurité, tels que l’exfiltration de données, les ransomwares, les abus informatiques, l’élévation de privilèges et l’exécution de code dynamique.

Exigences de sécurité et bonnes pratiques pour une application

Toutes les applications doivent être conformes aux exigences de sécurité décrites dans Exigences de sécurité et bonnes pratiques pour une Snowflake Native App.

Note

Les exigences de sécurité sont susceptibles de changer à mesure que Snowflake continue de surveiller de nouveaux risques potentiels.

Remarques relatives à la sécurité pour une Snowflake Native App with Snowpark Container Services

Pour obtenir des informations sur les exigences de sécurité supplémentaires pour une Snowflake Native App with Snowpark Container Services, voir Sécuriser une Snowflake Native App with Snowpark Container Services.

Directives pour la publication d’une application dans la Snowflake Marketplace

Lors de la publication d’une application dans la Snowflake Marketplace, les fournisseurs doivent prendre en compte des exigences supplémentaires et des bonnes pratiques. Voir Lignes directrices pour la publication d’une application dans Snowflake Marketplace.

Critères d’évaluation de CVE pour une application

L’approche de Snowflake pour traiter les vulnérabilités et les expositions courantes (CVEs) dans une Snowflake Native App est basée sur nos critères d’évaluation CVE, une politique qui établit des critères clairs et objectifs pour évaluer et hiérarchiser des CVEs en fonction de leur profil de risque.

La politique vise à équilibrer l’atténuation des risques de sécurité critiques avec l’effort requis pour traiter les vulnérabilités moins graves. Elle s’applique à toutes les applications soumises à un examen de sécurité et est appliquée pour garantir que seules les applications répondant aux critères définis sont approuvées pour publication dans l’environnement cloud de données de Snowflake.

Voir Considérations sur les vulnérabilités et les expositions courantes (CVE) pour plus d’informations.

Balayage des régions

Lorsque vous configurez une Snowflake Native App pour qu’elle soit partagée en externe, les fournisseurs partagent automatiquement le code dans l’appli avec Snowflake pour qu’elle soit analysée. Le tableau suivant mappe les régions de balayage NAAAPS aux régions correspondantes des fournisseurs :

Fournisseur Cloud

Région du fournisseur

Zone de balayage

AWS

US Ouest (Oregon)

US Ouest (Oregon)

AWS

US East (Ohio)

US East (Ohio)

AWS

US Est (Virginie du Nord)

US Est (Virginie du Nord)

AWS

Canada (Centre)

Canada (Centre)

AWS

Amérique du Sud (São Paulo)

Amérique du Sud (São Paulo)

AWS

EU (Irlande)

EU (Irlande)

AWS

Europe (Londres)

Europe (Londres)

AWS

EU (Paris)

EU (Paris)

AWS

EU (Francfort)

EU (Francfort)

AWS

EU (Zurich)

EU (Zurich)

AWS

EU (Stockholm)

EU (Stockholm)

AWS

Asie-Pacifique (Tokyo)

Asie-Pacifique (Tokyo)

AWS

Asie-Pacifique (Osaka)

Asie-Pacifique (Osaka)

AWS

Asie-Pacifique (Seoul)

Asie-Pacifique (Seoul)

AWS

Asie Pacifique (Mumbai)

Asie Pacifique (Mumbai)

AWS

Asie-Pacifique (Singapour)

Asie-Pacifique (Singapour)

AWS

Asie-Pacifique (Sydney)

Asie-Pacifique (Sydney)

AWS

Asie-Pacifique (Jakarta)

Asie-Pacifique (Jakarta)

Azure

  • Ouest US 2 (Washington)

  • Central US (Iowa)

  • Sud-Central US (Texas)

  • Est US 2 (Virginie)

  • Canada Central (Toronto)

Azure US Est 2 (Virginie)

Azure

  • UK Sud (Londres)

  • Europe du Nord (Irlande)

  • Europe de l’Ouest (Pays-Bas)

  • Suisse Nord (Zurich)

  • UAE Nord (Dubaï)

Azure Europe de l’Ouest (Pays-Bas)

Azure

  • Inde centrale (Pune)

  • Japon Est (Tokyo)

  • Asie du Sud-Est (Singapour)

  • Australie Est (Nouvelle-Galles du Sud)

Azure Australia East (Nouvelle-Galles du Sud)

GCP

  • US Central1 (Iowa)

  • US East4 (Virginie du Nord)

  • Europe Ouest2 (Londres)

  • Europe Ouest4 (Pays-Bas)

AWS US Ouest (Oregon)
Langage: Français