一般的な脆弱性とエクスポージャ（CVE）に関する考察¶

Snowflake Native App 用の CVE について¶

Common Vulnerabilities and Exposures（CVEs）は、ソフトウェア・アプリケーションやシステムにおけるセキュリティの脆弱性に関する一般に公開された情報です。これらの脆弱性は潜在的に悪用される可能性があり、影響を受けるアプリケーションのセキュリティを脅かします。

Snowflake Native App のコンテキストでは、プロバイダーは、Snowflake のデータクラウド環境内でこれらのアプリケーションの安全な実行を保証するために、 CVEs に対処する必要があります。これは、Snowflakeのカスタマーのデータと業務を保護するために必要なことです。 Snowflake Native App のセキュリティ審査中に、Snowflake はすべての受信アプリに既知の CVEs がないかスキャンします。

Snowflake の CVE Evaluation Criteriaの目的は、Snowflake に提出されたアプリの既知の CVEs を評価し、対処するための明確かつ客観的な基準を確立することです。これらの基準を定義することで、Snowflake は重要なセキュリティリスクに優先順位を付けて緩和する一方、それほど深刻でない脆弱性への対処に必要な労力も考慮します。このポリシーは、 CVE のリスクプロファイルに基づいてアプリを受諾または拒否するためのプロセスをガイドします。

この CVE ポリシーは、Snowflake のセキュリティ審査プロセスを受けるすべての受信アプリに適用されます。アプリのパッケージや依存関係から特定される CVEs がどのように評価され、対処されるかをカバーします。このポリシーは、 自動セキュリティスキャンを実行する に文書化されているように、セキュ リティ審査プロセスにおいて実施されます。

このプロセスにより、定義された基準を満たすアプリのみが、Snowflakeのデータクラウド環境内でコンシューマーへの公開と配布を承認されます。

CVE 評価基準¶

Snowflake は、以下の 3 つの基準を使用して、 Snowflake Native App 内の既知の脆弱性（CVEs）を評価し、各 CVE を審査します。

• その CVE には、確認された修正がある

• その CVE には、高い完全性のインパクトがある

• その CVE の EPSS スコアが10%以上である

これら3つの基準を考慮することで、Snowflakeは、どの CVEs がアプリ内で最も重大なリスクをもたらし、早急な修正が必要かを判断します。以下の基準を満たす CVE のパッケージが含まれている場合、または適切に修復されていない場合、アプリは拒否されます。

追加情報¶

以下のリンクは、Snowflake がアプリの脆弱性（CVE）を評価する際に使用するプロセスとポリシーの詳細を示しています。

• NVD 脆弱性

• 脆弱性メトリクス

• Exploited Protection Scoring System

• Enhancing Vulnerability Prioritization