퍼블릭 리포지토리의 소유자 및 관리자는 해당 리포지토리에서 프라이빗 취약성 보고를 사용하도록 설정할 수 있습니다. 자세한 내용은 "리포지토리에 대한 프라이빗 취약성 보고 구성"을(를) 참조하세요.
참고:
- 퍼블릭 리포지토리 대한 관리자 또는 보안 권한이 있는 경우 취약성 보고서를 제출하지 않아도 됩니다. 대신 초안 보안 공지를 직접 만들 수 있습니다. 자세한 내용은 "리포지토리 보안 공지 만들기"을(를) 참조하세요.
- 리포지토리의 취약성을 비공개로 보고하는 기능은 해당 리포지토리의 루트 또는
docs
디렉터리에SECURITY.md
파일이 있는 것과 관련이 없습니다.SECURITY.md
파일에는 리포지토리에 대한 보안 정책이 포함되어 있습니다. 리포지토리 관리자는 이 파일을 추가하고 사용하여 리포지토리에서 보안 취약성을 보고하는 방법에 대한 공개 지침을 제공할 수 있습니다. 자세한 내용은 "Adding a security policy to your repository(리포지토리에 보안 정책 추가)"을(를) 참조하세요.- 프라이빗 취약성 보고가 사용하도록 설정된 리포지토리에 대해서만 취약성을 비공개로 보고할 수 있으며
SECURITY.md
파일의 지침을 따르지 않아도 됩니다. 이 보고 프로세스는 완전히 비공개이며 GitHub은(는) 리포지토리 관리자에게 제출에 대해 직접 알릴 수 있습니다.
보안 취약성 비공개 보고 정보
보안 연구원은 종종 악용될 수 있는 취약성에 대해 사용자에게 경고할 책임이 있다고 생각합니다. 취약성이 포함된 리포지토리의 유지 관리자에게 연락하는 방법에 대한 명확한 지침이 없는 경우 보안 연구원은 소셜 미디어에 취약성에 대해 게시하거나, 유지 관리자에게 직접 메시지를 보내거나, 공개 문제를 만들 수밖에 없습니다. 이 경우 취약성에 대한 세부 정보가 공개될 수 있습니다.
비공개 취약성 보고를 사용하면 보안 연구원이 간단한 양식을 사용하여 리포지토리 유지 관리자에게 취약성을 직접 보고할 수 있습니다.
보안 연구원의 경우 프라이빗 취약성 보고를 사용할 경우의 이점은 다음과 같습니다.
- 실패를 줄이고 유지 관리자에게 연락하는 방법을 알아내는데 소요되는 시간이 단축됩니다.
- 취약성 세부 정보를 공개하고 논의하는 보다 원활한 프로세스입니다.
- 취약성 세부 정보를 리포지토리 유지 관리자와 함께 비공개로 논의할 수 있는 기회입니다.
참고: 리포지토리에 프라이빗 취약성 보고를 사용하도록 설정하지 않은 경우 리포지토리에 대한 보안 정책의 지침에 따라 보고 프로세스를 시작하거나 유지 관리자에게 기본 설정 보안 연락처를 요청하는 이슈를 만들어야 합니다. 자세한 내용은 "보안 취약성의 조정된 공개 정보"을(를) 참조하세요.
보안 취약성 비공개 보고
퍼블릭 리포지토리에 비공개 취약성 보고가 사용하도록 설정된 경우 누구나 보안 취약성을 리포지토리 유지 관리자에게 비공개로 보고할 수 있습니다. 퍼블릭 리포지토리 일반적인 보안을 평가하고 보안 정책을 제안할 수도 있습니다. 자세한 내용은 "리포지토리의 보안 및 설정 평가"을(를) 참조하세요.
-
GitHub에서 리포지토리의 기본 페이지로 이동합니다.
-
리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다.
-
취약성 보고를 클릭하여 권고 양식을 엽니다.
-
권고 세부 정보 양식을 작성합니다.
팁: 이 양식에서는 제목과 설명만 필수입니다. (리포지토리 유지 관리자가 시작하는 일반 초안 보안 권고 양식에서는 에코시스템도 지정해야 합니다.) 그러나 보안 연구원은 양식에 가능한 한 많은 정보를 제공하여 유지 관리자 제출된 보고서에 대해 정보에 입각한 결정을 내릴 수 있도록 하는 것이 좋습니다. "
github/securitylab
리포지토리"에서 사용할 수 있는 GitHub Security Lab에서 보안 연구원이 사용하는 템플릿을 채택할 수 있습니다.사용 가능한 필드 및 양식 작성에 대한 지침에 대한 자세한 내용은 "리포지토리 보안 공지 만들기" 및 "리포지토리 보안 공지 작성 모범 사례"을(를) 참조하세요.
-
양식 아래쪽에서 보고서 제출을 클릭합니다. GitHub은(는) 유지 관리자에게 알림을 받았으며 이 보안 권고에 대해 보류 중인 크레딧이 있음을 알리는 메시지를 표시합니다.
팁: 보고서가 제출되면 GitHub은(는) 취약성의 보고자를 공동 작업자로, 그리고 제안된 권고에 대해 크레딧을 받은 사용자로 자동으로 추가합니다.
-
필요에 따라 이슈 해결을 시작하려면 임시 프라이빗 포크 시작을 클릭합니다. 리포지토리 유지 관리자는 해당 프라이빗 포크의 변경 내용을 부모 리포지토리로 병합할 수 있습니다.
다음 단계는 리포지토리 유지 관리자가 수행한 작업에 따라 달라집니다. 자세한 내용은 "비공개로 보고된 보안 취약성 관리"을(를) 참조하세요.