不合格となったセキュリティ審査に異議を申し立てる

このトピックでは、セキュリティ審査に不合格となったアプリについて、異議申し立てを行う方法について説明します。

不合格となったセキュリティ審査に異議申し立てをするためのガイドライン

以下のガイドラインは、不合格となったセキュリティ審査に対する異議申し立て手続きに適用されます。

セキュリティ審査不合格の異議申し立てを行う

異議申し立てを申請するには、各項目について以下の情報を記載した サポートケースを提出 する必要があります。

  • 要約: 問題の要約には以下の形式を使用します。

    Appeal <App Name>, <Version>, <Patch>
    Copy

  • 説明: 問題の説明に以下の情報を記入してください。

    • アプリケーション情報: App Name、 Version、 Patch

    • 不合格理由: 不合格理由と Projects » App Packages にあるコードを貼り付けます。

    • 不合格の異議申し立てをするために必要な情報: 不合格の理由を明確にし、「不合格の異議申し立てをするために必要な情報」の下にあるすべての情報を記載してください。

  • カテゴリー: 一般管理部門を選択する

  • サブカテゴリー: その他を選択

  • 深刻度:4

    すべての異議申し立てには3~5営業日(月~金)の納期がかかります。深刻度が高いケースが提出された場合、深刻度4に格下げされることがあります。

警告

上記の情報が提供されない場合、異議申し立ては審査されることなく却下されることがあります。

不合格の理由と異議申し立てに必要な情報

アプリがセキュリティ審査に落ちる理由は複数あります。異議申し立てをする前に、以下の項目を確認してください。

不合格の理由としては、以下のようなものが考えられます。

アプリケーション・コードはアプリケーション・パッケージで定義される必要があります。

Snowflakeセキュリティポリシーでは、すべてのライブラリ依存関係とセットアップコードなどのすべてのアプリケーションコードをアプリケーションパッケージで定義されたアプリケーションバージョンに含む必要があります。

不合格の理由

あなたのアプリは、アプリケーションパッケージで審査できないコードを使用しています。これは、アプリケーション・パッケージの外部にあるソースに存在するコードによるものかもしれません。

この問題を解決するには

アプリを更新して、アプリに必要なすべてのコードをアプリ・パッケージに含めます。

不合格の理由には、さらなる背景が記されています。

不合格の異議申し立てをするために必要な情報

アプリがアプリケーションパッケージ外からデータをインポートした場合、アプリが不合格になる可能性があります。これは、コンシューマー・アカウントにないテーブルから、または他の外部統合を通じて行うことができます。

アプリがインポートするすべてのデータのリストと、データの使用に関する詳細を提供してください。

すべてのアプリコードが難読化されていないこと

Snowflakeセキュリティポリシーでは、すべてのアプリケーションコードが難読化されていない必要があります。つまり、コードは人間が読める必要があります。この要件には、ミニファイ化された JavaScript コードも含まれます。

不合格の理由

アプリケーションに難読化コードが含まれているため、Snowflakeで審査できませんでした。これは、最小化されたjavascriptや、暗号化やエンコードなどの難読化されたその他の形式のせいかもしれません。難読化されたコードをすべて削除するよう、アプリをアップデートしてください。

不合格の理由には、さらなる背景が記されています。

不合格の異議申し立てをするために必要な情報

異議申し立てが許されるのは、ミニマム化された JavaScript に限られます。ミニマム化された JavaScript に対応するソースマップファイルの場所を提供してください。

依存関係やライブラリには、クリティカルなものや高度の CVEs を含んではなりません。

Snowflakeセキュリティポリシーでは、クリティカルな、あるいは高度なCommon Vulnerabilities and Exposures(CVE)を含む依存関係やライブラリは、可能な場合、すべて安全なバージョンに更新する必要があります。 Snowflake Native App における CVEs の識別については、 一般的な脆弱性とエクスポージャ(CVE)に関する考察 をご参照ください。

不合格の理由

悪用されるとコンシューマーに害を及ぼす可能性のある既知のコンポーネント(CVEs)を使用している場合、アプリが不合格になる可能性があります。あなたのアプリの具体的な CVEs は、不合格理由に記載されています。

異なるツールは、その構成、内部ポリシー、スキャンの深さに基づいて、異なる結果を検出することができます。Snowflake のツールは、Snowflake Marketplace のポリシーを実施するように構成されています。Snowflakeは、あなた自身の CVE スキャンでは見つからない CVEs を特定するかもしれません。

不合格の異議申し立てをするために必要な情報

この不合格に異議申し立てをするには、以下の情報を提供する必要があります。

  • あなたのアプリで CVE を悪用できない理由の正当性。

  • 可能な場合、到達可能性分析レポート。

  • 固定バージョンへのアップデート計画。

  • アップデートの予定がない場合は、脆弱なバージョンを修正バージョンにアップデートできない理由を詳しく説明してください。

アプリは、プレーンテキストのカスタマーシークレットを保存したり、要求したりしてはなりません。

Snowflakeのセキュリティポリシーでは、アプリは、プレーンテキストでカスタマーのシークレットを保存したり、リクエストしたりすることはできません。

不合格の理由

この結果は、カスタマーシークレットの一部がプレーンテキストで保存されていることを示しています。

不合格の理由には、さらなる背景が記されています。

不合格の異議申し立てをするために必要な情報

アプリがカスタマーシークレットを保存する場合、保存されるシークレットとその用途の詳細を提供する必要があります。また、シークレットがどのように保管されているかについても詳しく説明すること。

注意

サポートチケットにシークレットを含めないでください。

アプリに、Snowflake、カスタマー、またはサードパーティにとって有害な機能が含まれていないこと。

Snowflakeのセキュリティポリシーでは、アプリケーションに、Snowflake、Snowflakeのカスタマー、またはサードパーティに危害を及ぼす可能性のある機能を含まないことが求められています。

不合格の理由

あなたのアプリに、Snowflakeが有害と判断する機能が含まれています。

不合格の異議申し立てをするために必要な情報

この理由による不合格は異議申し立てできません。

アプリは必要な権限をコンシューマーに伝える必要があります。

Snowflake セキュリティポリシーでは、アプリはすべてのオブジェクトとすべての API 統合でアプリが必要とするすべての権限を提供する必要があります。

不合格の理由

この不合格は、必要な権限を事前にコンシューマーに伝えることなく、アプリがコンシューマーにオブジェクトの権限を付与するよう要求した場合に発生する可能性があります。

この問題を解決するには

この問題を解決するには、コンシューマーに権限の付与を求める前に、アプリケーションに必要な権限と、アプリケーションによって作成されるオブジェクトに関する情報を提供する必要があります。

不合格の異議申し立てをするために必要な情報

この不合格に異議申し立てをするには、サポートチケットに以下の情報を記入してください。

  • アプリケーションが必要とするすべてのパーミッションのリスト。

  • アプリケーションが作成したすべてのオブジェクトのリスト。

  • コンシューマーに権限の付与を求める前に、権限がコンシューマーに開示されるアプリケーション内の場所。

アプリは可能な限り最小限の権限のみを要求しなければなりません。

Snowflakeセキュリティポリシーでは、アプリケーションはアプリケーションが機能するために必要な最小限の権限セットのみを必要とする必要があります。

不合格の理由

このアプリは、コンシューマーアカウントに幅広い権限を要求しています。例えば、使用許可で十分なのに、アプリはデータベースの所有権を要求しています。

この問題を解決するには

この問題を解決するには、アプリケーションが機能するために最低限必要な権限のみを要求するようにアプリを修正します。

不合格の異議申し立てをするために必要な情報

この不合格に異議申し立てをするには、サポートチケットに以下の情報を記入してください。

  • アプリケーションが必要とするすべてのパーミッションのリスト。

  • アプリケーションが作成したすべてのオブジェクトのリスト。

  • アカウントレベルの権限、所有権の付与、管理者ロールのリクエスト/付与の使用に関する詳細な説明。

言語: 日本語