참고: 취약성에 대한 프라이빗 보고는 현재 베타 버전이며 변경될 수 있습니다.
보안 취약성을 비공개로 보고하는 정보
보안 연구원은 종종 악용될 수 있는 취약성에 대해 사용자에게 경고할 책임이 있다고 생각합니다. 취약성이 포함된 리포지토리의 유지 관리자에게 연락하는 방법에 대한 명확한 지침이 없는 경우 보안 연구원은 소셜 미디어에 취약성에 대해 게시하거나, 유지 관리자에게 직접 메시지를 보내거나, 공개 문제를 만들 수 있는 것 외에는 다른 선택의 여지가 없을 수 있습니다. 이 상황은 잠재적으로 취약성 세부 정보의 공개로 이어질 수 있습니다.
프라이빗 취약성 보고를 사용하면 보안 연구원이 간단한 양식을 사용하여 취약성을 직접 보고할 수 있습니다.
보안 연구원이 취약성을 비공개로 보고하면 알림을 받고 이를 수락하거나, 더 많은 질문을 하거나, 거부할 수 있습니다. 보고서를 수락하면 보안 연구원과 비공개로 취약성에 대한 수정 사항을 공동 작업할 준비가 된 것입니다.
유지 관리자의 경우 프라이빗 취약성 보고를 사용하는 이점은 - 공개적으로 연락하거나 원치 않는 수단을 통해 연락할 위험이 줄어듭니다.
- 단순성을 위해 해결한 동일한 플랫폼에서 보고서를 받습니다.
- 보안 연구원은 유지 관리자를 대신하여 자문 보고서를 만들거나 적어도 시작합니다.
- 유지 관리자는 권고를 논의하고 해결하는 데 사용된 것과 동일한 플랫폼에서 보고서를 받습니다.
- 취약성은 대중의 눈에 있을 가능성이 적습니다.
- 취약성 세부 정보를 보안 연구원과 비공개로 논의하고 패치에 대해 공동 작업할 수 있는 기회입니다.입니다.
이 문서의 지침은 리포지토리 수준의 사용을 참조합니다. 조직 수준에서 기능을 사용하도록 설정하는 방법에 대한 자세한 내용은 "조직에 대한 프라이빗 취약성 보고 구성.
리포지토리에 대한 프라이빗 취약성 보고 사용 또는 사용 안 함
-
GitHub.com에서 리포지토리의 기본 페이지로 이동합니다. 1. 리포지토리 이름 아래에서 설정을 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다.
-
사이드바의 “보안” 섹션에서 코드 보안 및 분석을 클릭합니다.
-
"코드 보안 및 분석"의 "프라이빗 취약성 보고" 오른쪽에서 사용 또는 사용 안 함을 클릭하여 각각 기능을 사용하거나 사용하지 않도록 설정합니다.
리포지토리에 대해 프라이빗 취약성 보고를 사용하도록 설정하면 보안 연구원이 리포지토리의 권고 페이지에 새 단추가 표시됩니다. 보안 연구원은 이 단추를 클릭하여 리포지토리 유지 관리자에게 보안 취약성을 비공개로 보고할 수 있습니다.
