실패한 보안 검토에 대한 이의 제기¶
이 항목에서는 보안 검토 절차에 실패한 앱에 대한 이의 제기를 제기하는 방법을 설명합니다.
실패한 보안 검토에 대한 이의 제기 지침¶
다음 지침은 보안 검토 실패에 대한 이의 제기 절차에 적용됩니다.
보안 검토 실패에 대한 이의 제기를 제출하기 전에 다음 항목에 설명된 보안 정책을 검토합니다.
Snowflake는 앱의 보안 검사 세부 정보에 대한 정보를 제공하지 않습니다.
Snowflake에서는 앱 패치당 한 번의 이의 제기가 허용됩니다. 이의 제기에 대한 모든 정보를 단일 지원 사례에 제공해야 합니다. Snowflake는 앱의 동일 패치에 대한 후속 이의 제기를 거부합니다.
이의 제기에 대한 지원 사례에 필요한 모든 정보를 포함하지 않을 경우, 이의 제기는 검토 없이 거부될 수 있습니다.
실패한 보안 검토에 대한 이의 제기 제출¶
이의 제기를 제출하려면 각 항목에 대해 다음 정보를 포함한 지원 케이스를 제출 해야 합니다.
요약: 문제 요약에는 다음 형식을 사용합니다.
Appeal <App Name>, <Version>, <Patch>
설명: 문제 설명에 다음 정보를 제공합니다.
애플리케이션 정보: 앱 이름, 버전, 패치
거부 사유: Projects » App Packages 에 있는 거부 사유 및 코드를 붙여넣습니다.
거부에 대한 이의 제기에 필요한 정보: 거부 사유를 식별하고 “거부 이의 제기에 필요한 정보”에 모든 정보를 포함합니다.
카테고리: 일반 관리 선택
하위 카테고리: 기타 선택
심각도: 4
모든 이의 제기의 처리 기간은 영업일 기준 3~5일(월요일~금요일)입니다. 심각도가 더 높은 사례가 제출되면 심각도 4로 격하될 수 있습니다.
경고
위에 설명된 정보를 제공하지 않을 경우, 사용자의 이의 제기는 검토 없이 거부될 수 있습니다.
거부 사유 및 이의 제기에 필요한 정보¶
앱이 보안 검토에 실패하는 데에는 여러 가지 이유가 있습니다. 이의 제기를 제기하기 전에 다음 항목을 검토했는지 확인합니다.
거부될 수 있는 이유는 다음과 같습니다.
앱 코드는 애플리케이션 패키지에 정의되어야 합니다.¶
Snowflake 보안 정책에 따라 모든 라이브러리 종속성 및 설정 코드를 포함한 모든 애플리케이션 코드가 애플리케이션 패키지에 정의된 앱 버전에 포함되어야 합니다.
거부 사유
사용자의 앱은 애플리케이션 패키지에서 검토할 수 없는 코드를 사용하고 있습니다. 이는 애플리케이션 패키지 외부의 소스에 있는 코드에서 발생할 수 있습니다.
이 문제를 해결하는 방법
앱에 필요한 모든 코드를 애플리케이션 패키지에 포함하도록 앱을 업데이트합니다.
거부 사유에는 추가적인 맥락이 제공됩니다.
거부에 대한 이의 제기에 필요한 정보
앱이 애플리케이션 패키지 외부에서 데이터를 가져오는 경우 앱이 거부될 수 있습니다. 이는 컨슈머 계정에 없는 테이블이나 다른 외부 통합을 통해 이루어질 수 있습니다.
앱에서 가져온 모든 데이터 목록과 데이터 사용에 대한 세부 정보를 제공해 주십시오.
모든 앱 코드는 난독화되지 않아야 합니다.¶
Snowflake 보안 정책에 따라 모든 애플리케이션 코드는 난독 처리가 취소되어야 하며, 이는 코드가 사람이 읽을 수 있어야 함을 의미합니다. 이 요구 사항에는 축소된 JavaScript 코드가 포함됩니다.
거부 사유
사용자의 애플리케이션에는 Snowflake에서 검토할 수 없는 난독화된 코드가 포함되어 있습니다. 이는 축소된 자바스크립트나 암호화, 인코딩과 같은 다른 형태의 난독화로 인해 발생할 수 있습니다. 모든 난독화된 코드를 제거하려면 앱을 업데이트합니다.
거부 사유에는 추가적인 맥락이 제공됩니다.
거부에 대한 이의 제기에 필요한 정보
이의 제기는 축소된 JavaScript에 대해서만 허용됩니다. 축소된 JavaScript에 해당 소스 맵 파일의 위치를 입력합니다.
종속성과 라이브러리에는 중요 또는 높은 CVEs가 포함되어서는 안 됩니다.¶
Snowflake 보안 정책에 따라 중요하거나 높은 공통 취약성 및 노출(CVE)이 있는 모든 종속성 또는 라이브러리는 가능한 경우 보안 버전으로 업데이트해야 합니다. Snowflake Native App 에서 CVEs를 식별하는 방법에 대한 자세한 내용은 일반적인 취약점 및 노출(CVE) 고려사항 섹션을 참조하십시오.
거부 사유
악용될 경우 컨슈머에게 해로울 수 있는 것으로 알려진 CVEs 컴포넌트를 사용하는 경우 앱이 거부될 수 있습니다. 앱의 구체적인 CVEs는 거부 사유에 제공됩니다.
다양한 도구는 구성, 내부 정책, 스캐닝 심도에 따라 서로 다른 결과를 감지할 수 있습니다. Snowflake 도구는 Snowflake Marketplace 정책을 시행하도록 구성되어 있습니다. 자체 CVE 스캔에서 찾지 못한 CVEs을 Snowflake가 식별할 수 있습니다.
거부에 대한 이의 제기에 필요한 정보
이 거부에 대해 이의를 제기하려면 다음 정보를 제공해야 합니다.
앱에서 CVE를 악용할 수 없는 이유에 대한 정당성.
가능한 경우, 도달성 분석 보고서.
고정된 버전을 업데이트하기 위한 계획입니다.
업데이트 계획이 없는 경우 취약한 버전을 수정된 버전으로 업데이트할 수 없는 이유를 자세히 설명합니다.
앱은 일반 텍스트 고객 시크릿을 저장하거나 요구해서는 안 됩니다.¶
Snowflake 보안 정책에 따라 앱은 고객 시크릿을 일반 텍스트로 저장하거나 요구하지 않아야 합니다.
거부 사유
이 결과는 일부 고객 시크릿이 일반 텍스트로 저장되어 있음을 나타냅니다.
거부 사유에는 추가적인 맥락이 제공됩니다.
거부에 대한 이의 제기에 필요한 정보
앱에 고객 시크릿이 저장되어 있는 경우, 저장된 시크릿과 그 용도에 대한 세부 정보를 제공해야 합니다. 또한 시크릿이 어떻게 저장되는지에 대한 세부 정보도 제공합니다.
조심
지원 티켓에 시크릿을 포함하지 마십시오.
앱에는 Snowflake, 고객 또는 서드 파티에 유해한 기능이 포함되어서는 안 됩니다.¶
Snowflake의 보안 정책에 따라 애플리케이션에는 Snowflake, 고객 또는 서드 파티에 유해할 수 있는 기능이 포함되어서는 안 됩니다.
거부 사유
사용자의 앱에는 Snowflake에서 유해하다고 간주하는 기능이 포함되어 있습니다.
거부에 대한 이의 제기에 필요한 정보
이런 이유로 거부된 경우 이의를 제기할 수 없습니다.
앱은 컨슈머에게 필요한 권한을 전달해야 합니다.¶
Snowflake 보안 정책에 따라 앱은 모든 오브젝트 및 모든 API 통합에 대해 앱에 필요한 모든 권한을 제공해야 합니다.
거부 사유
이러한 거부는 앱이 사전에 컨슈머에게 필요한 권한을 전달하지 않고 컨슈머에게 오브젝트에 대한 권한을 부여하도록 요청할 때 발생할 수 있습니다.
이 문제를 해결하는 방법
이 문제를 해결하려면 컨슈머에게 권한 부여를 요청하기 전에 애플리케이션에 필요한 사용 권한과 애플리케이션에서 생성한 오브젝트에 대한 정보를 제공해야 합니다.
거부에 대한 이의 제기에 필요한 정보
이 거부에 대해 이의를 제기하려면 지원 티켓에 다음 정보를 제공합니다.
애플리케이션에 필요한 모든 권한 목록입니다.
애플리케이션에서 생성된 모든 오브젝트의 목록입니다.
컨슈머에게 권한 부여를 요청하기 전에 해당 권한이 컨슈머에게 공개되는 애플리케이션의 위치입니다.
앱은 가능한 최소한의 권한 집합만 요청해야 합니다.¶
Snowflake 보안 정책에 따라 애플리케이션은 애플리케이션이 함수를 수행하는 데 필요한 최소한의 권한만 요청해야 합니다.
거부 사유
앱은 컨슈머 계정에서 광범위한 권한을 요청하고 있습니다. 예를 들어, 사용 권한이 충분할 수도 있는데 앱이 데이터베이스 소유권을 요청하는 경우가 있습니다.
이 문제를 해결하는 방법
이 문제를 해결하려면 애플리케이션이 작동하는 데 필요한 최소한의 권한만 요청하도록 앱을 수정합니다.
거부에 대한 이의 제기에 필요한 정보
이 거부에 대해 이의를 제기하려면 지원 티켓에 다음 정보를 제공합니다.
애플리케이션에 필요한 모든 권한 목록입니다.
애플리케이션에서 생성된 모든 오브젝트의 목록입니다.
계정 수준 권한, 소유권 부여 또는 관리자 역할 요청/부여에 대한 자세한 설명입니다.