비공개로 보고된 보안 취약성 관리

리포지토리 유지 관리자는 비공개 취약성 보고를 사용하도록 설정된 리포지토리에 대해 보안 연구원이 비공개로 보고한 보안 취약성을 관리할 수 있습니다.

누가 이 기능을 사용할 수 있나요?

Anyone with admin permissions to a repository can see, review, and manage privately-reported vulnerabilities for the repository.

이 문서의 내용

퍼블릭 리포지토리의 소유자 및 관리자는 해당 리포지토리에서 프라이빗 취약성 보고를 사용하도록 설정할 수 있습니다. 자세한 내용은 "리포지토리에 대한 프라이빗 취약성 보고 구성"을(를) 참조하세요.

보안 취약성 비공개 보고 정보

비공개 취약성 보고를 사용하면 보안 연구원이 간단한 양식을 사용하여 취약성을 직접 보고할 수 있습니다.

보안 연구원이 취약성을 비공개로 보고하면 알림을 받고 이를 수락하거나, 더 많은 질문을 하거나, 거부할 수 있습니다. 보고서를 수락하면 보안 연구원과 비공개로 취약성에 대한 수정 사항을 공동 작업할 수 있습니다.

비공개로 보고되는 보안 취약성 관리

프라이빗 취약성 보고가 활성화된 리포지토리에서 새 취약성이 비공개로 보고되면 GitHub은(는) 리포지토리 유지 관리자 및 보안 관리자에게 다음과 같은 경우 알림을 제공합니다.

  • 모든 활동에 대해 리포지토리를 보고 있습니다.
  • 리포지토리에 대해 알림이 활성화되어 있습니다.

알림 기본 설정을 구성하는 방법에 대한 자세한 내용은 "리포지토리에 대한 프라이빗 취약성 보고 구성"을 참조하세요.

  1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다.

    탭을 보여 주는 리포지토리 헤더의 스크린샷. "보안" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 왼쪽 사이드바의 "보고"에서 Advisories를 클릭합니다.

  4. 검토할 공지를 클릭합니다. 비공개로 보고된 공지의 상태는 Triage입니다.

    "보안 공지" 목록의 스크린샷.

  5. 보고서를 신중하게 검토한 다음 진행 방법을 선택합니다.

    • 비공개로 패치를 공동 작업하려면 임시 프라이빗 포크 시작을 클릭하여 기여자와 추가 논의를 할 수 있는 장소를 만드세요. 이렇게 하면 제안된 공지의 Triage 상태를 변경하지 않습니다.

    • 보고된 취약성을 적용하려면 수락 및 초안으로 열기를 클릭해서 GitHub에서 취약성 보고서를 초안 공지로 수락합니다. 이 옵션을 선택하는 경우:

      • 보고서가 공개되지 않습니다.
      • 보고서는 리포지토리 보안 공지 초안이 되며 사용자가 만든 초안 공지와 동일한 방식으로 작업할 수 있습니다. 보안 공지에 대한 자세한 내용은 "리포지토리 보안 공지 정보"을 참조하세요.

    • 자세한 정보를 요청하거나 보고자와 토론을 시작하려면 공지에 주석을 달 수 있습니다. 모든 주석은 공지의 보고자와 협력자에게만 표시됩니다.

    • 보고자가 설명하는 문제가 보안 위험이 아니라고 판단할 수 있는 충분한 정보가 있는 경우 보안 공지 닫기를 클릭합니다. 가능한 경우 공지를 닫기 전에 보고서를 보안 위험으로 간주하지 않는 이유를 설명하는 주석을 추가합니다.

      외부에서 제출된 취약성 보고서를 검토할 때 리포지토리 유지 관리자가 사용할 수 있는 옵션을 보여 주는 스크린샷.