참고: 보안 연구원인 경우 관리자에게 직접 연락하여 관리하지 않는 리포지토리에서 보안 권고를 만들거나 CVE를 대신 발급하도록 요청해야 합니다. 그러나 리포지토리에 대해 프라이빗 취약성 보고를 사용하도록 설정한 경우 취약성을 비공개로 직접 보고할 수 있습니다. 자세한 내용은 "보안 취약성 비공개 보고"을(를) 참조하세요.
Creating a security advisory(보안 공지 만들기)
REST API를 사용하여 리포지토리 보안 공지를 만들 수도 있습니다. 자세한 정보는 "리포지토리 보안 권고에 대한 REST API 엔드포인트"을(를) 참조하세요.
-
GitHub에서 리포지토리의 기본 페이지로 이동합니다.
-
리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다.
-
왼쪽 사이드바의 "보고"에서 Advisories를 클릭합니다.
-
새 초안 보안 공지를 클릭하여 초안 공지 양식을 엽니다. 별표로 표시된 필드는 필수 사항입니다.
-
제목 필드에 보안 공지의 제목을 입력합니다.
-
CVE 식별자 드롭다운 메뉴를 사용하여 CVE 식별자가 이미 있는지 또는 나중에 GitHub에서 요청할 것인지를 지정합니다. 기존 CVE 식별자가 있는 경우 기존 CVE 식별자가 있음을 선택하여 기존 CVE 필드를 표시하고 이 필드에 CVE 식별자를 입력합니다. 자세한 내용은 "리포지토리 보안 공지 정보"을(를) 참조하세요.
-
설명 필드에 영향, 사용 가능한 패치 또는 해결 방법, 참조 등을 포함하여 보안 취약성에 대한 설명을 입력합니다.
-
"영향을 받는 제품"에서 이 보안 권고에서 설명하는 보안 취약성에 대한 에코시스템, 패키지 이름, 영향을 받는/패치된 버전 및 취약한 함수를 정의합니다. 해당하는 경우 영향을 받는 다른 제품 추가를 클릭하여 영향을 받는 여러 제품을 동일한 권고에 추가할 수 있습니다.
영향을 받는 버전을 포함하여 양식에 대한 정보를 지정하는 방법에 대한 자세한 내용은 "AUTOTITLE"을(를) 참조하세요.
-
심각도 드롭다운 메뉴를 사용하여 보안 취약성의 심각도를 정의합니다 . CVSS 점수를 계산하려면 CVSS를 사용하여 심각도 평가를 선택한 다음, 계산기에서 적절한 값을 선택합니다. GitHub Enterprise Cloud는 일반적인 취약성 채점 시스템 계산기에 따라 점수를 계산합니다.
-
"약점"의 Common Weakness Enumerator 필드에 이 보안 권고에서 보고하는 보안 약점의 종류를 설명하는 CWE(Common Weakness Enumerator)를 입력합니다. 전체 CWE 목록은 MITRE의 “Common Weakness Enumeration”을 참조하세요.
-
필요에 따라 "크레딧"에서 GitHub 사용자 이름, GitHub 계정과 연결된 이메일 주소 또는 전체 이름을 검색하여 크레딧을 추가합니다.
-
크레딧 유형을 할당하려면 크레딧을 받는 사람의 이름 옆에 있는 드롭다운 메뉴를 사용하세요. 크레딧 유형에 대한 자세한 내용은 리포지토리 보안 공지에 대한 크레딧 정보 섹션을 참조하세요.
-
필요에 따라 다른 사용자를 제거하려면 크레딧 유형 옆에 있는 을(를) 클릭합니다.
-
-
보안 공지 초안 만들기를 클릭합니다.
“기여 인정” 섹션에 나열되어 있는 사용자는 기여 인정을 수락하도록 요청하는 메일 또는 웹 알림을 받게 됩니다. 사용자가 수락하면 보안 공지가 게시될 때 사용자 이름이 공개적으로 표시됩니다.
리포지토리 보안 공지에 대한 크레딧 정보
보안 취약성을 발견하고 보고하거나 수정하는 데 도움을 준 사람의 기여를 인정할 수 있습니다. 누군가의 기여를 인정하는 경우 상대는 이를 수락하거나 거절할 수 있습니다.
다른 유형의 크레딧을 사용자에게 할당할 수 있습니다.
크레딧 유형 | 원인 |
---|---|
Finder | 취약성 식별 |
보고자 | 공급업체에 CNA에 대한 취약성을 알릴 수 있습니다 |
Analyst | 취약성의 유효성을 검사하여 정확도 또는 심각도를 확인합니다 |
코디네이터 | 조정된 응답 프로세스를 용이하게 합니다 |
수정 개발자 | 코드 변경 또는 기타 수정 계획 준비 |
수정 검토자 | 취약성 수정 계획 또는 코드 변경 내용을 검토하여 효율성과 완전성을 평가합니다 |
수정 검증 도구 | 취약성 또는 수정을 테스트하고 확인합니다 |
도구 | 취약성 검색 또는 식별에 사용되는 도구의 이름 |
스폰서 | 취약성 식별 또는 수정 활동 지원 |
누군가가 기여에 대한 인정을 수락하면 해당 사용자의 사용자 이름이 보안 공지의 “기여 인정” 섹션에 표시됩니다. 리포지토리에 대한 읽기 권한이 있는 사람은 누구나 공지와 기여 인정을 수락한 사람을 볼 수 있습니다.
참고: 보안 권고에 대한 크레딧을 받아야 한다고 생각되면 권고 작성자에게 연락하여 자신의 크레딧을 포함하도록 권고의 수정을 요청하세요. 공지 작성자만 기여를 인정할 수 있으므로 보안 공지 기여 인정에 대해서는 GitHub 지원에 문의하지 마세요.
다음 단계
- 보안 공지 초안에 주석을 달고 팀과 취약성에 대해 논의합니다.
- 보안 공지에 협력자를 추가합니다. 자세한 내용은 "리포지토리 보안 공지에 협력자 추가"을(를) 참조하세요.
- 프라이빗 협업을 통해 임시 프라이빗 포크의 취약성을 해결합니다. 자세한 내용은 "리포지토리 보안 취약성을 해결하기 위해 임시 프라이빗 포크에서 협업"을(를) 참조하세요.
- 보안 공지에 기여해서 기여를 인정받아야 하는 개인을 추가합니다. 자세한 내용은 "리포지토리 보안 공지 편집"을(를) 참조하세요.
- 보안 공지를 게시하여 커뮤니티에 보안 취약성을 알립니다. 자세한 내용은 "리포지토리 보안 공지 게시"을(를) 참조하세요.