보안 취약성 비공개 보고 정보
보안 연구원은 종종 악용될 수 있는 취약성에 대해 사용자에게 경고할 책임이 있다고 생각합니다. 취약성이 포함된 리포지토리의 유지 관리자에게 연락하는 방법에 대한 명확한 지침이 없는 경우 보안 연구원은 소셜 미디어에 취약성에 대해 게시하거나, 유지 관리자에게 직접 메시지를 보내거나, 공개 문제를 만들 수밖에 없습니다. 이 경우 취약성에 대한 세부 정보가 공개될 수 있습니다.
비공개 취약성 보고를 사용하면 보안 연구원이 간단한 양식을 사용하여 취약성을 직접 보고할 수 있습니다.
보안 연구원이 취약성을 비공개로 보고하면 알림을 받고 이를 수락하거나, 더 많은 질문을 하거나, 거부할 수 있습니다. 보고서를 수락하면 보안 연구원과 비공개로 취약성에 대한 수정 사항을 공동 작업할 수 있습니다.
관리자는 비공개 취약성 보고를 사용하여 다음과 같은 이점을 얻을 수 있습니다. - 공개적으로 연락하거나 원치 않는 수단을 통해 연락할 위험이 적습니다.
- 간단하게 해결할 수 있는 동일한 플랫폼에서 보고서를 받습니다.
- 보안 연구원은 유지 관리자를 대신하여 자문 보고서를 만들거나 적어도 시작합니다.
- 유지 관리자는 권고를 논의하고 해결하는 데 사용되는 것과 동일한 플랫폼에서 보고서를 받습니다.
- 취약성은 대중의 시선에 있을 가능성이 적습니다.
- 보안 연구원과 취약성 세부 정보를 비공개로 논의하고 패치에 대해 공동 작업할 수 있는 기회입니다.
이 문서의 지침은 리포지토리 수준에서 활성화를 참조합니다. 조직 수준에서 기능을 사용하도록 설정하는 방법에 대한 자세한 내용은 "조직에 대한 비공개 취약성 보고 구성"을 참조하세요.
리포지토리에 대한 프라이빗 취약성 보고 사용 또는 사용 안 함 설정
- GitHub.com에서 리포지토리의 기본 페이지로 이동합니다.
- 리포지토리 이름 아래에서 Settings(설정)를 클릭합니다. "설정" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 설정을 클릭합니다.
- 사이드바의 "보안" 섹션에서 코드 보안 및 분석을 클릭합니다.
- "코드 보안 및 분석"의 "프라이빗 취약성 보고" 오른쪽에서 사용 또는 사용 안 함을 클릭하여 기능을 각각 사용하거나 사용하지 않도록 설정합니다.
리포지토리에 대해 프라이빗 취약성 보고를 사용하도록 설정하면 보안 연구원이 리포지토리의 권고 페이지에서 새 단추를 확인할 수 있습니다. 보안 연구원은 이 단추를 클릭하여 보안 취약성을 리포지토리 유지 관리자에게 비공개로 보고할 수 있습니다.
보안 연구원은 REST API를 사용하여 보안 취약성을 비공개로 보고할 수도 있습니다. 자세한 내용은 "보안 취약성을 비공개로 보고"를 참조하세요.
프라이빗 취약성 보고에 대한 알림 구성
프라이빗 취약성 보고가 활성화된 리포지토리에서 새 취약성이 비공개로 보고되면 GitHub은(는) 리포지토리 유지 관리자 및 보안 관리자에게 다음과 같은 경우 알림을 제공합니다.
- 모든 활동에 대해 리포지토리를 보고 있습니다.
- 리포지토리에 대해 알림이 활성화되어 있습니다.
알림은 사용자의 알림 기본 설정에 따라 달라집니다. 다음과 같은 경우, 이메일 알림을 받습니다.
- 리포지토리를 보고 있습니다.
- "모든 활동"에 대한 알림을 사용하도록 설정했습니다.
- 알림 설정에 있는 "구독"의 "시청 중"에서 이메일로 알림을 받도록 선택했습니다.
-
GitHub.com에서 리포지토리의 기본 페이지로 이동합니다.
-
리포지토리 시청을 시작하려면 Watch를 선택합니다.
-
드롭다운 메뉴에서 모든 활동을 클릭합니다.
-
개인 계정의 알림 설정으로 이동합니다. https://github.com/settings/notifications에서 사용할 수 있습니다.
-
알림 설정 페이지의 "구독"에서 "시청 중"에서 알림 드롭다운을 선택합니다.
-
알림 옵션으로 "이메일"을 선택한 다음 저장을 클릭합니다.
알림 기본 설정에 대한 자세한 내용은 "리포지토리에 대한 보안 및 분석 설정 관리" 및 "개별 리포지토리에 대한 보기 설정 구성"을 참조하세요.