리포지토리에 대한 관리자 권한이 있는 모든 사용자가 보안 공지를 만들 수 있습니다.
참고: 보안 연구원인 경우 관리자에게 직접 연락하여 관리하지 않는 리포지토리에서 보안 권고를 만들거나 CVE를 대신 발급하도록 요청해야 합니다. 그러나 리포지토리에 대해 프라이빗 vulnerabiliy 보고를 사용하도록 설정한 경우 취약성을 직접 보고할 수 있습니다. 자세한 내용은 "보안 취약성 비공개 보고"를 참조하세요.
Creating a security advisory(보안 공지 만들기)
- GitHub.com에서 리포지토리의 기본 페이지로 이동합니다. 1. 리포지토리 이름 아래에서 Security를 클릭합니다.
1. 왼쪽 사이드바의 "보고" 아래에서 권고를 클릭합니다.
- 새 초안 보안 공지 를 클릭하여 초안 권고 양식을 엽니다. 별표로 표시된 필드가 필요합니다.
- 보안 공지의 제목을 입력합니다.
- 이 보안 공지에서 해결하는 보안 취약성의 영향을 받는 제품 및 버전을 편집합니다. 해당하는 경우 영향을 받는 여러 제품을 동일한 공지에 추가할 수 있습니다.
영향을 받는 버전을 포함하여 양식에 대한 정보를 지정하는 방법에 대한 자세한 내용은 "리포지토리 보안 권고 작성 모범 사례"를 참조하세요. 1. 보안 취약성의 심각도를 선택합니다. CVSS 점수를 할당하려면 “CVSS를 사용하여 심각도 평가”를 선택하고 계산기에서 적절한 값을 클릭합니다. GitHub는 “일반적인 취약성 채점 시스템 계산기”에 따라 점수를 계산합니다.
1. 이 보안 권고에서 다루는 보안 약점의 종류에 대한 CWE(Common Weakness Enumerator)를 추가합니다. 전체 CWE 목록은 MITRE의 “Common Weakness Enumeration”을 참조하세요.
- 기존 CVE 식별자가 있는 경우 “기존 CVE 식별자가 있음”을 선택하고 텍스트 상자에 CVE 식별자를 입력합니다. 그러지 않으면 나중에 GitHub에서 CVE를 요청할 수 있습니다. 자세한 내용은 “GitHub Security Advisories 정보”를 참조하세요. 1. 보안 취약성에 대한 설명을 입력합니다.
- 보안 공지 초안 만들기를 클릭합니다.
다음 단계
- 보안 공지 초안에 주석을 달고 팀과 취약성에 대해 논의합니다.
- 보안 공지에 협력자를 추가합니다. 자세한 내용은 “리포지토리 보안 공지에 협력자 추가”를 참조하세요.
- 프라이빗 협업을 통해 임시 프라이빗 포크의 취약성을 해결합니다. 자세한 내용은 “리포지토리 보안 취약성을 해결하기 위해 임시 프라이빗 포크에서 협업”을 참조하세요.
- 보안 공지에 기여해서 기여를 인정받아야 하는 개인을 추가합니다. 자세한 내용은 “리포지토리 보안 공지 편집”을 참조하세요.
- 보안 공지를 게시하여 커뮤니티에 보안 취약성을 알립니다. 자세한 내용은 “리포지토리 보안 공지 게시”를 참조하세요.