Exécution de l’analyse de sécurité automatisée

Cette rubrique décrit comment lancer l’analyse de sécurité automatisée et afficher le statut actuel.

Flux de travail d’analyse de sécurité

Le diagramme suivant montre comment l’analyse de sécurité s’intègre dans le flux de travail de développement et de publication d’une Snowflake Native App :

../../_images/security-scan-overview.png

Ce flux de travail comprend les étapes suivantes :

  1. Créer un paquet d’application.

  2. Mettre à jour le code de l’application et les fichiers associés.

    Avant d’exécuter l’analyse de sécurité automatisée, assurez-vous que l’application est conforme aux exigences de sécurité et aux meilleures pratiques décrites dans Exigences de sécurité et bonnes pratiques pour une Snowflake Native App. Si l’application est une Snowflake Native App with Snowpark Container Services, examinez les exigences de sécurité supplémentaires décrites dans Sécuriser une Snowflake Native App with Snowpark Container Services.

  3. Ajouter une version ou un correctif à un paquet d’application.

  4. Exécuter l’analyse de sécurité automatisée. L’analyse de sécurité automatisée démarre lorsque le fournisseur effectue l’une des opérations suivantes :

    • Ajoute une nouvelle version ou un correctif au paquet d’application lorsque la propriété DISTRIBUTION est définie sur EXTERNAL. La nouvelle version est scannée automatiquement.

    • Définit la propriété DISTRIBUTION sur « EXTERNAL » sur un paquet d’application qui a déjà une version définie. Les dix versions les plus récentes du paquet d’application sont analysées automatiquement. Tous les correctifs pour ces versions sont également analysés.

  5. Attendez les résultats de l’analyse.

    Si l’analyse est approuvée, le fournisseur peut poursuivre le processus de publication de l’application.

    Si l’analyse est rejetée, le fournisseur doit mettre à jour le code de l’application en fonction des résultats de l’analyse. Alternativement, le fournisseur peut faire appel du rejet.

  6. Créez ou modifiez la directive de publication de l’application.

  7. Créez une annonce pour l’application.

  8. Soumettez l’annonce à Snowflake pour approbation.

    Si l’annonce est approuvée, le fournisseur peut publier l’annonce sur la Marketplace Snowflake.

    Si l’annonce est rejetée, le fournisseur doit la mettre à jour et la soumettre à nouveau pour approbation.

  9. Publier la liste.

Réglez la propriété DISTRIBUTION pour un paquet d’application

La propriété DISTRIBUTION d’un paquet d’application indique le type d’annonce qu’un fournisseur peut créer lorsqu’il utilise le paquet d’application comme produit de données d’une annonce. Cette propriété a les valeurs suivantes :

  • INTERNAL indique qu’un fournisseur ne peut créer une annonce privée qu’au sein de la même organisation où le paquet d’application a été créé. L’analyse de sécurité automatisée n’est pas effectuée lorsque la propriété DISTRIBUTION est définie sur INTERNAL.

  • EXTERNAL indique qu’un fournisseur peut créer des annonces en dehors de la même organisation où le paquet d’application a été créé. Cela comprend les éléments suivants :

    • Annonces privées en dehors de l’organisation du fournisseur.

    • Annonces publiques.

    • Annonces Marketplace.

Un fournisseur peut définir la propriété DISTRIBUTION lors de la création du paquet d’application ou ultérieurement.

Pour définir la propriété DISTRIBUTION lors de la création d’un paquet d’application, exécutez la commande CREATE APPLICATION PACKAGE comme le montre l’exemple suivant :

CREATE APPLICATION PACKAGE hello_snowflake_package
  DISTRIBUTION = EXTERNAL;
Copy

Lorsqu’un fournisseur définit la propriété DISTRIBUTION lors de la création du paquet d’application, toutes les versions ou correctifs ajoutés ultérieurement au paquet d’application sont analysés immédiatement.

Pour définir la propriété DISTRIBUTION pour un paquet d’application existant, exécutez ALTER APPLICATION PACKAGE comme le montre l’exemple suivant :

ALTER APPLICATION PACKAGE hello_snowflake_package
  SET DISTRIBUTION = EXTERNAL;
Copy

Lorsqu’un fournisseur définit la propriété DISTRIBUTION d’un paquet d’application existant, l’analyse de sécurité automatisée est automatiquement exécutée sur les dix versions les plus récentes de l’application. Tous les correctifs pour ces versions sont également analysés.

Afficher le statut de l’analyse de sécurité automatisée

Pour afficher le statut de l’analyse de sécurité automatisée, exécutez la commande SHOW VERSIONS comme indiqué dans l’exemple suivant :

SHOW VERSIONS IN APPLICATION PACKAGE hello_snowflake_package;
Copy

La colonne review_status affiche le statut de l’analyse de révision automatisée. Les valeurs possibles sont les suivantes :

  • NOT_REVIEWED indique que l’analyse de sécurité automatisée n’a pas été effectuée sur ce paquet d’application.

  • IN_PROGRESS indique que l’analyse de sécurité automatisée est actuellement en cours.

  • APPROVED indique que l’analyse de sécurité automatisée est terminée et que le paquet d’application a été approuvé. Le fournisseur peut définir la directive de publication pour le paquet d’application.

  • REJECTED indique que l’analyse de sécurité automatisée est terminée, mais que le paquet d’application n’a pas été approuvé.

Note

Lorsqu’une analyse de sécurité automatisée échoue, Snowflake examine manuellement le paquet d’application. Une fois l’examen manuel terminé, le statut est mis à jour sur APPROVED ou REJECTED.

Faire un recours en cas de rejet

Si des vulnérabilités critiques ou des violations de politique sont détectées après que Snowflake a effectué un examen manuel, le paquet d’application est rejeté et le fournisseur est averti par e-mail.

Un fournisseur peut faire appel du rejet en ouvrant un ticket d’assistance de gravité 4. Lors d’un recours en cas de rejet par rapport à une CVE, les fournisseurs doivent soumettre une documentation détaillée expliquant les points suivants :

  • Pourquoi la CVE n’est pas exploitable dans l’application

  • Un rapport d’analyse d’accessibilité, si disponible

  • Un plan de mise à jour vers la version corrigée

  • S’il n’existe aucun plan de mise à jour, une explication détaillée des raisons pour lesquelles une version vulnérable ne peut pas être mise à jour

L’équipe de sécurité Snowflake examine et rend des décisions pour tous les recours.

Pour plus d’informations sur le processus de recours, voir Faire appel d’un examen de sécurité ayant échoué.

Surveillance et correction continues de la sécurité

Une fois qu’une application est approuvée et publiée sur la Snowflake Marketplace, elle fait l’objet d’une surveillance de sécurité continue pour garantir une sécurité et une conformité continues. Cela inclut :

  • L’analyse périodique de la sécurité des images pour détecter de nouvelles vulnérabilités ou violations de politiques.

  • Si des problèmes sont découverts, le fournisseur est informé et dispose de 30 jours ouvrables pour corriger l’application ou peut demander une exception dans les 15 jours.

Si aucune mesure n’est prise après 30 jours, l’application peut être retirée de la Marketplace.

Langage: Français