참고: 보안 연구원인 경우 관리자에게 직접 연락하여 관리하지 않는 리포지토리에서 보안 권고를 만들거나 CVE를 대신 발급하도록 요청해야 합니다. 그러나 리포지토리에 대해 프라이빗 vulnerabiliy 보고를 사용하도록 설정한 경우 취약성을 직접 보고할 수 있습니다. 자세한 내용은 "보안 취약성 비공개 보고"을 참조하세요.
Creating a security advisory(보안 공지 만들기)
-
GitHub.com에서 리포지토리의 기본 페이지로 이동합니다. 1. 리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다.
-
새 초안 보안 공지 를 클릭하여 초안 권고 양식을 엽니다. 별표로 표시된 필드가 필요합니다.
-
제목 필드에 보안 공지 제목을 입력합니다.
-
CVE 식별자 드롭다운 메뉴를 사용하여 CVE 식별자가 이미 있는지 또는 나중에 GitHub에서 요청할 것인지를 지정합니다. 기존 CVE 식별자가 있는 경우 기존 CVE 필드를 표시할 기존 CVE 식별자가 있음 을 선택하고 필드에 CVE 식별자를 입력합니다. 자세한 내용은 "리포지토리 보안 권고 정보"을 참조하세요. 1. 설명 필드에 영향, 사용 가능한 패치 또는 해결 방법 및 참조를 포함하여 보안 취약성에 대한 설명을 입력합니다. 1. "영향을 받는 제품"에서 이 보안 공지에서 설명하는 보안 취약성에 대한 에코시스템, 패키지 이름, 영향을 받는/패치된 버전 및 취약한 기능을 정의합니다. 해당하는 경우 영향을 받는 다른 제품 추가를 클릭하여 영향을 받는 여러 제품을 동일한 권고에 추가할 수 있습니다.
영향을 받는 버전을 포함하여 양식에 대한 정보를 지정하는 방법에 대한 자세한 내용은 "리포지토리 보안 권고 작성 모범 사례"을 참조하세요. 1. 심각도 드롭다운 메뉴를 사용하여 보안 취약성의 심각도를 정의 합니다 . CVSS 점수를 계산하려면 CVSS를 사용하여 심각도 평가를 선택한 다음 계산기에서 적절한 값을 선택합니다. GitHub은 (는) 일반적인 취약성 점수 매기기 시스템 계산기에 따라 점수를 계산합니다. 1. "약점"의 공통 약점 열거자 필드에 이 보안 공지에서 보고하는 보안 약점의 종류를 설명하는 일반적인 약점 열거자(CWU)를 입력합니다. 전체 CWE 목록은 MITRE의 “Common Weakness Enumeration”을 참조하세요.
-
필요에 따라 "크레딧"에서 GitHub 사용자 이름, GitHub 계정과 연결된 이메일 주소 또는 전체 이름을 검색하여 크레딧을 추가합니다.
-
크레딧 유형을 할당하기 위해 크레딧을 부여하는 사람의 이름 옆에 있는 드롭다운 메뉴를 사용합니다. 신용 유형에 대한 자세한 내용은 리포지토리 보안 권고에 대한 크레딧 정보 섹션을 참조하세요 .
-
필요에 따라 누군가를 제거하려면 신용 유형 옆에 있는 을 클릭합니다.
-
-
보안 공지 초안 만들기를 클릭합니다.
“기여 인정” 섹션에 나열되어 있는 사용자는 기여 인정을 수락하도록 요청하는 메일 또는 웹 알림을 받게 됩니다. 사용자가 수락하면 보안 공지가 게시될 때 사용자 이름이 공개적으로 표시됩니다.
리포지토리 보안 권고에 대한 크레딧 정보
보안 취약성을 발견하고 보고하거나 수정하는 데 도움을 준 사람의 기여를 인정할 수 있습니다. 누군가의 기여를 인정하는 경우 상대는 이를 수락하거나 거절할 수 있습니다.
다른 유형의 크레딧을 사용자에게 할당할 수 있습니다.
| 신용 유형 | 이유 |
|---|---|
| Finder | 취약성 식별 |
| 기자 | 공급업체에 CNA에 대한 취약성을 알 수 있습니다. |
| Analyst | 취약성의 유효성을 검사하여 정확도 또는 심각도를 보장합니다. |
| 코디네이터 | 조정된 응답 프로세스를 용이하게 합니다. |
| 수정 개발자 | 코드 변경 또는 기타 수정 계획 준비 |
| 수정 검토자 | 취약성 수정 계획 또는 코드 변경 내용을 검토하여 효율성 및 완전성을 평가합니다. |
| 수정 검증 도구 | 취약성 또는 수정을 테스트하고 확인합니다. |
| 도구 | 취약성 검색 또는 식별에 사용되는 도구의 이름 |
| 스폰서 | 취약성 식별 또는 수정 활동을 지원합니다. |
누군가가 기여에 대한 인정을 수락하면 해당 사용자의 사용자 이름이 보안 공지의 “기여 인정” 섹션에 표시됩니다. 리포지토리에 대한 읽기 권한이 있는 사람은 누구나 공지와 기여 인정을 수락한 사람을 볼 수 있습니다.
참고: 보안 권고에 대한 신용을 받아야 한다고 생각되는 경우 자문 작성자에 문의하고 크레딧을 포함하도록 권고를 편집하도록 요청하세요. 공지 작성자만 크레딧을 사용할 수 있으므로 GitHub 보안 권고 크레딧에 대한 지원에 문의하지 마세요.
다음 단계
- 보안 공지 초안에 주석을 달고 팀과 취약성에 대해 논의합니다.
- 보안 공지에 협력자를 추가합니다. 자세한 내용은 "리포지토리 보안 공지에 협력자 추가"을 참조하세요.
- 프라이빗 협업을 통해 임시 프라이빗 포크의 취약성을 해결합니다. 자세한 내용은 "리포지토리 보안 취약성을 해결하기 위해 임시 프라이빗 포크에서 협업"을 참조하세요.
- 보안 공지에 기여해서 기여를 인정받아야 하는 개인을 추가합니다. 자세한 내용은 "리포지토리 보안 공지 편집"을 참조하세요.
- 보안 공지를 게시하여 커뮤니티에 보안 취약성을 알립니다. 자세한 내용은 "리포지토리 보안 공지 게시"을 참조하세요.