通用漏洞披露 (CVE) 注意事项

本主题介绍了 Snowflake 如何将通用漏洞披露 (CVE) 标准应用于 Snowflake Native App。

关于 Snowflake Native App 的 CVE

通用漏洞披露 (CVEs) 是有关软件应用程序和系统安全漏洞的公开披露信息。这些漏洞可能被利用,从而危及受影响应用程序的安全。

对于 Snowflake Native App,提供商必须解决 CVEs 以确保这些应用程序在 Snowflake 数据云环境中安全执行。这对于保护 Snowflake 客户的数据和操作是很有必要的。在 Snowflake Native App 安全审查期间,Snowflake 会扫描所有传入的应用程序来检测已知 CVEs。

警告

可能并非所有 CVEs 都能被检测到。此外,CVEs 可能不会带来相同程度的风险,或者可能 Snowflake 无法对其进行操作。

Snowflake 的 CVE 评估标准旨在建立一套清晰、客观的标准,从而评估并解决提交给 Snowflake 的应用程序中存在的已知 CVEs。通过定义这些标准,Snowflake 可以优先降低重大安全风险,同时考虑解决严重程度较低的漏洞所需进行的工作。本策略根据 CVE 风险状况,对接受或拒绝应用程序的流程作出指导。

此 CVE 策略适用于所有经过 Snowflake 安全审查流程的传入应用程序。它涵盖了如何评估和处理在应用程序的包和依赖项中发现的 CVEs。本策略在安全审查流程中强制执行,如 运行自动安全扫描 中所述。

此流程确保只有符合定义标准的应用程序才能获批在 Snowflake 数据云环境中发布并分发给使用者。

CVE 评估标准

Snowflake 使用以下三项标准来评估 Snowflake Native App 中的已知漏洞 (CVEs),并审查每一个 CVE:

  • :ref:` CVE 已确认修复 <label-native_apps_security_cve_confirmed>`

  • :ref:` CVE 具有较高的完整性影响 <label-native_apps_security_cve_impact>`

  • :ref:` CVE 的 EPSS 分数达到或超过 10% <label-native_apps_security_cve_epss>`

通过考虑这三项标准,Snowflake 决定哪些 CVEs 构成最重大的风险,需要在应用程序中立即修复。如果应用程序中包含任何带有符合以下标准的 CVE 的包,或未进行适当修复,则该应用程序将被拒绝。

CVE 已确认修复

Snowflake 仅提供根据国家漏洞数据库 (NVD) 已确认修复的 CVEs 的可操作信息和报告。这确保了发现的漏洞具有已知且可用的解决方案,从而使开发人员能够有效地解决这些漏洞。

CVE 具有较高的完整性影响

Snowflake 专注于具有较高完整性影响的 CVEs,如通用漏洞评分系统 (CVSS) 中所定义。较高的完整性影响表示完全丧失完整性或彻底失去保护,从而可以在没有任何约束的情况下对数据进行未经授权的修改和/或数据篡改。 提供商必须解决这些 CVEs,确保数据云环境的安全性和可靠性。

CVE 的 EPSS 分数达到或超过 10%

漏洞预测评分系统 (EPSS) 根据漏洞的产生时间、复杂性和潜在影响等因素,对软件漏洞被利用的可能性进行估计。

如果应用程序的 EPSS 分数达到或超过 10%,Snowflake 就会拒绝该应用程序。此阈值是根据对当前应用程序的数据分析确定的。此阈值允许 Snowflake 优先处理那些更有可能被利用的漏洞,同时保持合理的风险容忍度。

附加信息

以下链接提供了有关 Snowflake 在评估应用程序 CVE 漏洞时使用的流程和策略的更多信息:

  • NVD 漏洞 (https://nvd.nist.gov/vuln)

  • 漏洞指标 (https://nvd.nist.gov/vuln-metrics/cvss)

  • 漏洞保护评分系统 (https://nvd.nist.gov/vuln-metrics/cvss)

  • 增强漏洞优先级排序 (https://arxiv.org/abs/2302.14172)

语言: 中文