Considerações sobre vulnerabilidades e exposições comuns (CVE)¶
Este tópico descreve como o Snowflake aplica os critérios de vulnerabilidades e exposições comuns (CVE) a um Snowflake Native App.
Sobre a CVE para um Snowflake Native App¶
Vulnerabilidades e exposições comuns (CVEs) são informações divulgadas publicamente sobre vulnerabilidades de segurança em aplicativos e sistemas de software. Essas vulnerabilidades podem ser potencialmente exploradas, comprometendo a segurança dos aplicativos afetados.
No contexto de um Snowflake Native App, os provedores devem abordar as CVEs para garantir a execução segura desses aplicativos no ambiente de nuvem de dados do Snowflake. Isso é necessário para proteger os dados e as operações dos clientes Snowflake. Durante a revisão de segurança de um Snowflake Native App, o Snowflake verifica todos os aplicativos recebidos em busca de CVEs.
Aviso
É possível que nem todas as CVEs sejam detectadas. Além disso, as CVEs podem não apresentar o mesmo nível de risco ou podem não ser acionáveis pela Snowflake.
O objetivo dos Critérios de avaliação de CVE da Snowflake é estabelecer um conjunto de critérios claros e objetivos para avaliar e abordar CVEs conhecidos em um aplicativo enviado à Snowflake. Ao definir esses critérios, a Snowflake prioriza e atenua riscos críticos de segurança, ao mesmo tempo em que considera o esforço necessário para abordar vulnerabilidades menos graves. Esta política orienta o processo de aceitação ou rejeição de um aplicativo com base no perfil de risco de CVE.
Esta política de CVE se aplica a todos os aplicativos recebidos que passam pelo processo de revisão de segurança da Snowflake. Ele aborda como as CVEs identificadas nos pacotes e dependências de um aplicativo são avaliados e abordados. Esta política é aplicada durante o processo de revisão de segurança, conforme documentado em Execução da verificação de segurança automatizada.
Esse processo garante que apenas aplicativos que atendam aos critérios definidos sejam aprovados para publicação e distribuição aos consumidores no ambiente de nuvem de dados da Snowflake.
Critérios de avaliação de CVE¶
A Snowflake usa os três critérios a seguir para avaliar vulnerabilidades conhecidas (CVEs) em um Snowflake Native App e revisar cada CVE:
Ao considerar esses três critérios, a Snowflake decide quais CVEs representam os riscos mais significativos e exigem correções imediatas em um aplicativo. Um aplicativo será rejeitado se contiver pacotes com uma CVE que atendam aos critérios abaixo ou que não sejam corrigidos adequadamente.
A CVE tem uma correção confirmada¶
A Snowflake fornece informações acionáveis e relatórios apenas sobre as CVEs que têm uma correção confirmada de acordo com o National Vulnerability Database (NVD). Isso garante que as vulnerabilidades identificadas tenham uma solução conhecida e disponível, permitindo que os desenvolvedores as resolvam de forma eficaz.
A CVE tem um alto impacto na integridade¶
A Snowflake se concentra em CVEs com alto impacto na integridade, conforme definido pelo Common Vulnerability Scoring System (CVSS). Um alto impacto de integridade indica uma perda total de integridade ou perda completa de proteção, permitindo modificações não autorizadas de dados e/ou adulteração de dados sem quaisquer restrições. Os provedores devem abordar essas CVEs para garantir a segurança e a confiabilidade do nosso ambiente de nuvem de dados.
A CVE tem uma pontuação EPSS de 10 por cento ou mais¶
O sistema de pontuação de previsão de exploração (EPSS) fornece uma estimativa da probabilidade de uma vulnerabilidade de software ser explorada com base em fatores como idade, complexidade e impacto potencial da vulnerabilidade.
A Snowflake rejeita um aplicativo se ele tiver uma pontuação EPSS de dez por cento ou mais. Esse limite é determinado com base na análise de dados de aplicativos atuais. Esse limite permite que a Snowflake priorize e trate vulnerabilidades com maior probabilidade de serem exploradas, mantendo um nível razoável de tolerância a riscos.
Informações adicionais¶
Os links a seguir fornecem mais informações sobre os processos e políticas que a Snowflake usa ao avaliar cada CVE em um aplicativo: