보안 취약성 비공개 보고에 대해
보안 연구원은 악용될 수 있는 취약성에 대해 사용자에게 알릴 책임을 느끼는 경우가 많습니다. 취약성이 포함된 리포지토리의 유지 관리자에게 연락하는 방법에 대한 명확한 지침이 없으면, 보안 연구원은 소셜 미디어에 취약성에 대해 게시하거나, 유지 관리자에게 직접 메시지를 보내거나, 심지어 공용 이슈를 생성할 수밖에 없을 수도 있습니다. 이러한 상황은 취약성 세부 정보가 공용으로 공개되는 결과로 이어질 수 있습니다.
비공개 취약성 보고를 사용하면 보안 연구원이 간단한 양식을 사용하여 취약성을 직접 보고할 수 있습니다.
보안 연구원이 취약성을 비공개로 보고하면 알림을 받고 이를 수락하거나, 더 많은 질문을 하거나, 거부할 수 있습니다. 보고서를 수락하면 보안 연구원과 비공개로 취약성에 대한 수정 사항을 공동 작업할 수 있습니다.
조직 소유자와 보안 관리자가 비공개 취약점 보고를 사용할 때의 이점은 다음과 같습니다. * 공개적으로 연락하거나 원치 않는 수단을 통해 연락할 위험이 적습니다.
- 간단하게 해결할 수 있는 동일한 플랫폼에서 보고서를 받습니다.
- 보안 연구원은 유지 관리자를 대신하여 자문 보고서를 만들거나 적어도 시작합니다.
- 유지 관리자는 권고를 논의하고 해결하는 데 사용되는 것과 동일한 플랫폼에서 보고서를 받습니다.
- 취약성은 대중의 시선에 있을 가능성이 적습니다.
- 보안 연구원과 취약성 세부 정보를 비공개로 논의하고 패치에 대해 공동 작업할 수 있는 기회입니다.
아래의 지침은 조직 수준에서의 활성화를 기준으로 설명합니다. 리포지토리에 대해 이 기능을 활성화하는 방법은 리포지토리에 대한 비공개 취약성 보고 구성을(를) 참조하세요.
프라이빗 취약성 보고가 활성화된 리포지토리에서 새 취약성이 비공개로 보고되면 GitHub는 리포지토리 유지 관리자 및 보안 관리자에게 다음과 같은 경우 알림을 제공합니다.
- 모든 활동에 대해 리포지토리를 보고 있습니다.
- 리포지토리에 대해 알림이 활성화되어 있습니다.
알림 기본 설정 구성에 대한 자세한 내용은 리포지토리에 대한 비공개 취약성 보고 구성을(를) 참조하세요.
조직에 추가된 공개 리포지토리에 대해 비공개 취약점 보고 활성화 또는 비활성화하기
GitHub-recommended security configuration을(를) 사용하여 조직에 새로 추가되는 공개 리포지토리에 대해 비공개 취약점 보고를 활성화하거나 비활성화할 수 있으며, 또는 custom security configuration을(를) 생성할 수도 있습니다. 자세한 내용은 조직에서 GitHub 권장 보안 구성 적용 및 사용자 정의 보안 구성 생성하기을(를) 참조하세요.
보안 연구자의 관점에서 리포지토리에 비공개 취약점 보고가 활성화되어 있을 때의 모습
리포지토리에 대해 프라이빗 취약성 보고를 사용하도록 설정하면 보안 연구원이 리포지토리의 권고 페이지에서 새 단추를 확인할 수 있습니다. 보안 연구원은 이 단추를 클릭하여 보안 취약성을 리포지토리 유지 관리자에게 비공개로 보고할 수 있습니다.
보안 연구원은 REST API를 사용하여 보안 취약성을 비공개로 보고할 수도 있습니다. 자세한 내용은 보안 취약성을 비공개로 보고를 참조하세요.