보안 공지에 대한 관리자 권한이 있는 사람은 누구나 보안 공지를 게시할 수 있습니다.
참고: 이 문서는 리포지토리 수준의 권고를 퍼블릭 리포지토리 소유자로서 편집하는 데 적용됩니다.
리포지토리를 소유하지 않은 사용자는 github.com/advisories에서 GitHub Advisory Database의 전체 보안 권고에 기여할 수 있습니다. 전역 공지에 대한 편집은 리포지토리에 공지가 표시되는 방식을 변경하거나 이에 영향을 미치지 않습니다. 자세한 내용은 "GitHub Advisory Database에서 보안 권고 편집"을(를) 참조하세요.
필수 조건
보안 공지를 게시하거나 CVE ID 번호를 요청하려면 먼저 보안 공지 초안을 만들고 보안 취약성의 영향을 받는 프로젝트 버전에 대한 정보를 제공해야 합니다. 자세한 내용은 "리포지토리 보안 공지 만들기"을(를) 참조하세요.
보안 공지를 만들었지만 아직 보안 취약성이 영향을 미치는 프로젝트 버전에 대한 세부 정보를 제공하지 않은 경우 보안 공지를 편집할 수 있습니다. 자세한 내용은 "리포지토리 보안 공지 편집"을(를) 참조하세요.
보안 공지 게시 정보
보안 공지를 게시할 때 보안 공지가 다루는 보안 취약성에 대해 커뮤니티에 알립니다. 보안 공지를 게시하면 커뮤니티에서 패키지 종속성을 쉽게 업데이트하고 보안 취약성의 영향을 연구할 수 있습니다.
리포지토리 보안 공지를 사용하여 취약성의 세부 정보를 복사하여 새 보안 공지에 붙여 넣어 이미 다른 곳에서 공개한 보안 취약성의 세부 정보를 다시 게시할 수도 있습니다.
보안 공지를 게시하기 전에 비공개로 협업하여 임시 프라이빗 포크의 취약성을 수정할 수 있습니다. 자세한 내용은 "리포지토리 보안 취약성을 해결하기 위해 임시 프라이빗 포크에서 협업"을(를) 참조하세요.
경고: 가능하다면 항상 공지를 게시하기 전에 보안 공지에 수정 버전을 추가해야 합니다. 그렇지 않은 경우 권고는 고정 버전 없이 게시되며 Dependabot은 업데이트할 안전한 버전을 제공하지 않고 사용자에게 이 문제에 대해 경고합니다.
이러한 다양한 상황에서는 다음 단계 수행을 권장합니다.
- 수정 버전을 곧 사용할 수 있고 수정할 수 있는 경우 기다렸다가 수정 사항이 준비되면 문제를 공개합니다.
- 수정 버전을 개발하고 있지만 아직 사용할 수 없는 경우 공지에서 이를 언급하고 게시한 다음 나중에 공지를 편집합니다.
- 문제를 해결할 계획이 없는 경우 사용자가 언제 수정되는지 질문하기 위해 연락하지 않도록 공지에서 이 문제에 대해 명확히 언급해야 합니다. 이 경우 사용자가 문제를 완화하기 위해 수행할 수 있는 단계를 포함하는 것이 유용합니다.
퍼블릭 리포지토리에서 초안 공지를 게시하면 모든 사용자가 다음을 볼 수 있습니다.
- 공지 데이터의 현재 버전.
- 기여를 인정받은 사용자가 수락한 모든 공지 기여 인정.
참고: 일반 대중은 공지의 편집 기록에 액세스할 수 없으며 게시된 버전만 볼 수 있습니다.
보안 공지를 게시한 후 보안 공지에 대한 URL은 보안 공지를 게시하기 전과 동일하게 유지됩니다. 리포지토리에 대한 읽기 권한이 있는 사용자는 누구나 보안 공지를 볼 수 있습니다. 보안 공지의 협력자는 관리자 권한이 있는 사람이 보안 공지에서 협력자를 제거하지 않는 한 보안 공지에서 전체 주석 스트림을 포함한 과거 대화를 계속 볼 수 있습니다.
게시한 보안 공지에서 정보를 업데이트하거나 수정해야 하는 경우 보안 공지를 편집할 수 있습니다. 자세한 내용은 "리포지토리 보안 공지 편집"을(를) 참조하세요.
보안 공지 게시
보안 공지를 게시하면 보안 공지에 대한 임시 프라이빗 포크가 삭제됩니다.
-
GitHub에서 리포지토리의 기본 페이지로 이동합니다.
-
리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다.
-
왼쪽 사이드바의 "보고"에서 Advisories를 클릭합니다.
-
“보안 공지” 목록에서 게시하려는 보안 공지의 이름을 클릭합니다.
-
권고 양식의 아래쪽으로 스크롤하고 공지 게시를 클릭합니다.
참고: "나중에 CVE ID 요청"을 선택한 경우 게시 권고 버튼 대신 CVE 요청 버튼이 표시됩니다. 자세한 내용은 아래의 "CVE ID 번호 요청(선택 사항)"을 참조하세요.
게시된 보안 공지에 대한 Dependabot alerts
GitHub은 게시된 각 보안 권고를 검토하고, GitHub Advisory Database에 추가하고, 보안 권고를 사용하여 영향을 받는 리포지토리에 Dependabot alerts를 보낼 수 있습니다. 보안 권고가 포크에서 제공되는 경우 포크가 퍼블릭 패키지 레지스트리에 고유한 이름으로 게시된 패키지를 소유하는 경우에만 경고를 보냅니다. 이 프로세스는 최대 72시간이 걸릴 수 있으며 GitHub에서 자세한 내용을 보려면 연락할 수 있습니다.
Dependabot alerts에 대한 자세한 내용은 "Dependabot 경고 정보" 및 "Dependabot 보안 업데이트 정보"을(를) 참조하세요. GitHub Advisory Database에 대한 자세한 내용은 “GitHub Advisory Database에서 보안 권고 탐색”을(를) 참조하세요.
CVE ID 번호 요청(선택 사항)
프로젝트의 보안 취약성에 대한 CVE 식별 번호를 원하지만 아직 보유하지 않은 경우 GitHub에서 CVE 식별 번호를 요청할 수 있습니다. GitHub는 일반적으로 72시간 이내에 요청을 검토합니다. CVE 식별 번호를 요청해도 보안 공지가 공개되지는 않습니다. 보안 공지가 CVE에 적합한 경우 GitHub는 공지에 CVE 식별 번호를 예약합니다. 그런 다음 보안 공지를 공개하면 CVE 세부 정보가 게시됩니다. 보안 공지에 대한 관리자 권한이 있는 사람은 누구나 CVE 식별 번호를 요청할 수 있습니다.
사용하려는 CVE가 이미 있는 경우(예: GitHub 이외의 CNA(CVE Numbering Authority)를 사용하는 경우) 보안 공지 양식에 CVE를 추가합니다. 예를 들어 게시 시 보낼 다른 통신과 일관된 권고를 원하는 경우 해당 상황이 발생할 수 있습니다. 다른 CNA에서 프로젝트를 다루는 경우 GitHub는 프로젝트에 CVE를 할당할 수 없습니다. 자세한 내용은 "리포지토리 보안 공지 정보"을 참조하세요.
-
GitHub에서 리포지토리의 기본 페이지로 이동합니다.
-
리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다.
-
왼쪽 사이드바의 "보고"에서 Advisories를 클릭합니다.
-
“보안 공지” 목록에서 CVE 식별 번호를 요청하려는 보안 공지의 이름을 클릭합니다.
-
권고 양식의 아래쪽으로 스크롤하고 CVE 요청을 클릭합니다.