일반적인 취약점 및 노출(CVE) 고려사항¶
이 항목에서는 Snowflake가 공통 취약점 및 노출(CVE) 기준을 Snowflake Native App 에 적용하는 방법에 대해 설명합니다.
Snowflake Native App 의 CVE 정보¶
일반적인 취약점 및 노출(CVEs)는 소프트웨어 애플리케이션 및 시스템의 보안 취약점에 대한 공개 정보입니다. 이러한 취약점은 잠재적으로 악용되어 영향을 받는 애플리케이션의 보안을 손상시킬 수 있습니다.
Snowflake Native App 의 맥락에서 공급자는 CVEs를 해결하여 Snowflake의 데이터 클라우드 환경 내에서 이러한 애플리케이션이 안전하게 실행되도록 해야 합니다. 이는 Snowflake 고객의 데이터와 운영을 보호하는 데 필요합니다. Snowflake Native App 의 보안 검토 중에 Snowflake는 수신되는 모든 앱에서 알려진 CVEs를 검사합니다.
경고
모든 CVEs가 감지되는 것은 아닙니다. 또한 CVEs는 동일한 수준의 위험을 나타내지 않거나 Snowflake에서 작업할 수 없을 수도 있습니다.
Snowflake의 CVE 평가 기준의 목적은 Snowflake에 제출된 앱에서 알려진 CVEs를 평가하고 해결하기 위한 명확하고 객관적인 기준을 설정하는 것입니다. 이러한 기준을 정의함으로써 Snowflake는 덜 심각한 취약성을 해결하는 데 필요한 노력을 고려하는 동시에 중요한 보안 위험을 우선 순위화하고 완화합니다. 이 정책은 CVE 위험 프로필에 따라 앱을 수락하거나 거부하는 절차를 안내합니다.
이 CVE 정책은 Snowflake의 보안 검토 프로세스를 거치는 모든 수신 앱에 적용됩니다. 이는 앱의 패키지 및 종속성에서 식별되는 CVEs를 평가하고 처리하는 방법을 다룹니다. 이 정책은 자동 보안 검사 실행하기 에 설명된 대로 보안 검토 프로세스 중에 시행됩니다.
이 프로세스는 정의된 기준을 충족하는 앱만 Snowflake의 데이터 클라우드 환경 내에서 컨슈머에게 게시 및 배포되도록 승인합니다.
CVE 평가 기준¶
Snowflake는 다음 세 가지 기준을 사용하여 Snowflake Native App 에서 알려진 취약점(CVEs)을 평가하고 각 CVE를 검토합니다.
이 세 가지 기준을 고려하여 Snowflake는 앱 내에서 가장 심각한 위험을 초래하고 즉각적인 수정이 필요한 CVEs를 결정합니다. 아래 기준을 충족하거나 적절하게 수정되지 않은 CVE가 표시된 패키지가 포함된 앱은 거부됩니다.
CVE에 수정이 있습니다.¶
Snowflake는 국가 취약점 데이터베이스(NVD)에 따라 수정이 확인된 CVEs에 대해서만 작업 가능한 정보 및 리포트를 제공합니다. 이를 통해 식별된 취약점에 대한 알려지고 사용 가능한 해결 방법이 제공되어 개발자가 취약점을 효과적으로 해결할 수 있습니다.
CVE가 높은 무결성 영향을 미칩니다.¶
Snowflake는 공통 취약점 점수 시스템(CVSS)에서 정의한 대로 통합에 미치는 영향이 큰 CVEs에 중점을 둡니다. 무결성 영향이 높다는 것은 무결성이 완전히 손실되거나 보호 기능이 완전히 상실되어 아무런 제약 조건 없이 데이터를 무단으로 수정하거나 데이터를 변조할 수 있음을 의미합니다. 공급자는 데이터 클라우드 환경의 보안과 안정성을 보장하기 위해 이러한 CVEs를 해결해야 합니다.
CVE의 EPSS 점수가 10% 이상입니다.¶
Exploit Prediction Scoring System(EPSS)은 취약성의 연령, 복잡성, 잠재적 영향 등의 요소를 기반으로 소프트웨어 취약성이 악용될 가능성을 추정합니다.
EPSS 점수가 10% 이상인 경우 Snowflake는 앱을 거부합니다. 이 임계값은 현재 앱의 데이터 분석을 기반으로 결정됩니다. 이 임계값을 통해 Snowflake는 합리적인 수준의 위험 허용 범위를 유지하면서도 악용될 가능성이 높은 취약점을 우선 순위로 지정하여 해결할 수 있습니다.
추가 정보¶
다음 링크에서는 앱의 CVE 취약점을 평가할 때 Snowflake가 사용하는 프로세스 및 정책에 대한 자세한 정보를 제공합니다.