퍼블릭 리포지토리의 소유자 및 관리자는 리포지토리에 대한 프라이빗 취약성 보고를 사용하도록 설정할 수 있습니다. 자세한 내용은 "리포지토리에 대한 프라이빗 취약성 보고 구성"을 참조하세요.
참고: 퍼블릭 리포지토리 대한 관리자 또는 보안 권한이 있는 경우 취약성 보고서를 제출할 필요가 없습니다. 대신 보안 공지 초안을 직접 만들 수 있습니다. 자세한 내용은 "리포지토리 보안 공지 만들기"을 참조하세요.
보안 취약성을 비공개로 보고하는 정보
보안 연구원은 종종 악용될 수 있는 취약성에 대해 사용자에게 경고할 책임이 있다고 생각합니다. 취약성이 포함된 리포지토리의 유지 관리자에게 연락하는 방법에 대한 명확한 지침이 없는 경우 보안 연구원은 소셜 미디어에 취약성에 대해 게시하거나, 유지 관리자에게 직접 메시지를 보내거나, 공개 문제를 만들 수 있는 것 외에는 다른 선택의 여지가 없을 수 있습니다. 이 상황은 잠재적으로 취약성 세부 정보의 공개로 이어질 수 있습니다.
프라이빗 취약성 보고를 사용하면 보안 연구원이 간단한 양식을 사용하여 리포지토리 유지 관리자 직접 취약성을 보고할 수 있습니다.
보안 연구원의 경우 프라이빗 취약성 보고를 사용하면 다음과 같은 이점이 있습니다.
- 좌절이 줄어들고 유지 관리자에게 연락하는 방법을 알아내는 데 소요된 시간이 줄어듭니다.
- 취약성 세부 정보를 공개하고 논의하기 위한 더 원활한 프로세스입니다.
- 취약성 세부 정보를 리포지토리 유지 관리자 비공개로 논의할 수 있는 기회입니다.
참고: 리포지토리에 프라이빗 취약성 보고를 사용하도록 설정하지 않은 경우 리포지토리에 대한 보안 정책의 지침에 따라 보고 프로세스를 시작하거나 유지 관리자에게 기본 보안 연락처를 요청하는 문제를 만들어야 합니다. 자세한 내용은 "보안 취약성의 조정된 공개 정보"을 참조하세요.
보안 취약성 비공개 보고
퍼블릭 리포지토리 대한 관리자 또는 보안 권한이 없는 경우에도 리포지토리 유지 관리자에게 보안 취약성을 비공개로 보고할 수 있습니다. 퍼블릭 리포지토리 일반 보안을 평가하고 보안 정책을 제안할 수도 있습니다. 자세한 내용은 "리포지토리의 보안 설정 평가"을 참조하세요.
-
GitHub.com에서 리포지토리의 기본 페이지로 이동합니다. 1. 리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다.
-
취약성 보고를 클릭하여 권고 양식을 엽니다.
-
권고 세부 정보 양식을 입력합니다.
팁: 이 양식에서는 제목과 설명만 필수입니다. (리포지토리 유지 관리자 시작하는 일반 보안 공지 양식에서는 에코시스템도 지정해야 합니다.) 그러나 유지 관리자가 제출된 보고서에 대해 정보에 입각한 결정을 내릴 수 있도록 보안 연구원이 양식에 가능한 한 많은 정보를 제공하는 것이 좋습니다. 리포지토리에서 사용할 수 있는 GitHub Security Lab에서 보안 연구원이 사용하는 템플릿을 채택할
github/securitylab수 있습니다.사용 가능한 필드에 대한 자세한 내용과 양식 작성에 대한 지침은 "리포지토리 보안 공지 만들기" 및 "리포지토리 보안 권고 작성 모범 사례"을 참조하세요.
-
양식 아래쪽에서 보고서 제출을 클릭합니다. GitHub은 유지 관리자에게 알림을 받았으며 이 보안 권고에 대한 보류 중인 크레딧이 있음을 알리는 메시지를 표시합니다.
팁: 보고서가 제출되면 GitHub이(가) 취약성의 신고자를 공동 작업자로, 그리고 제안된 권고에 대한 신용 사용자로 자동으로 추가합니다.
-
필요에 따라 문제 해결을 시작하려면 임시 프라이빗 포크 시작을 클릭합니다. 리포지토리 유지 관리자 해당 프라이빗 포크의 변경 내용을 부모 리포지토리에 병합할 수 있습니다.
다음 단계는 리포지토리 유지 관리자 수행한 작업에 따라 달라집니다. 자세한 내용은 "비공개로 보고된 보안 취약성 관리"을 참조하세요.