퍼블릭 리포지토리의 소유자 및 관리자는 해당 리포지토리에서 프라이빗 취약성 보고를 사용하도록 설정할 수 있습니다. 자세한 내용은 "리포지토리에 대한 프라이빗 취약성 보고 구성"을(를) 참조하세요.
보안 취약성 비공개 보고 정보
비공개 취약성 보고를 사용하면 보안 연구원이 간단한 양식을 사용하여 취약성을 직접 보고할 수 있습니다.
보안 연구원이 취약성을 비공개로 보고하면 알림을 받고 이를 수락하거나, 더 많은 질문을 하거나, 거부할 수 있습니다. 보고서를 수락하면 보안 연구원과 비공개로 취약성에 대한 수정 사항을 공동 작업할 수 있습니다.
비공개로 보고되는 보안 취약성 관리
프라이빗 취약성 보고가 활성화된 리포지토리에서 새 취약성이 비공개로 보고되면 GitHub은(는) 리포지토리 유지 관리자 및 보안 관리자에게 다음과 같은 경우 알림을 제공합니다.
- 모든 활동에 대해 리포지토리를 보고 있습니다.
- 리포지토리에 대해 알림이 활성화되어 있습니다.
알림 기본 설정을 구성하는 방법에 대한 자세한 내용은 "리포지토리에 대한 프라이빗 취약성 보고 구성"을 참조하세요.
-
GitHub에서 리포지토리의 기본 페이지로 이동합니다.
-
리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다.
-
왼쪽 사이드바의 "보고"에서 Advisories를 클릭합니다.
-
검토할 공지를 클릭합니다. 비공개로 보고된 공지의 상태는
Triage
입니다. -
보고서를 신중하게 검토한 다음 진행 방법을 선택합니다.
-
비공개로 패치를 공동 작업하려면 임시 프라이빗 포크 시작을 클릭하여 기여자와 추가 논의를 할 수 있는 장소를 만드세요. 이렇게 하면 제안된 공지의
Triage
상태를 변경하지 않습니다. -
보고된 취약성을 적용하려면 수락 및 초안으로 열기를 클릭해서 GitHub에서 취약성 보고서를 초안 공지로 수락합니다. 이 옵션을 선택하는 경우:
- 보고서가 공개되지 않습니다.
- 보고서는 리포지토리 보안 공지 초안이 되며 사용자가 만든 초안 공지와 동일한 방식으로 작업할 수 있습니다. 보안 공지에 대한 자세한 내용은 "리포지토리 보안 공지 정보"을 참조하세요.
-
자세한 정보를 요청하거나 보고자와 토론을 시작하려면 공지에 주석을 달 수 있습니다. 모든 주석은 공지의 보고자와 협력자에게만 표시됩니다.
-
보고자가 설명하는 문제가 보안 위험이 아니라고 판단할 수 있는 충분한 정보가 있는 경우 보안 공지 닫기를 클릭합니다. 가능한 경우 공지를 닫기 전에 보고서를 보안 위험으로 간주하지 않는 이유를 설명하는 주석을 추가합니다.
-