Skip to main content

리포지토리 보안 공지 만들기

오픈 소스 프로젝트에서 보안 취약성을 비공개로 논의하고 수정하기 위한 보안 권고 초안을 만들 수 있습니다.

누가 이 기능을 사용할 수 있나요?

Anyone with admin permissions to a public repository, or with a security manager role within the repository, can create a security advisory.

참고: 보안 연구원인 경우 관리자에게 직접 연락하여 관리하지 않는 리포지토리에서 보안 권고를 만들거나 CVE를 대신 발급하도록 요청해야 합니다. 그러나 리포지토리에 대해 프라이빗 취약성 보고를 사용하도록 설정한 경우 취약성을 비공개로 직접 보고할 수 있습니다. 자세한 내용은 "보안 취약성 비공개 보고"을(를) 참조하세요.

Creating a security advisory(보안 공지 만들기)

REST API를 사용하여 리포지토리 보안 공지를 만들 수도 있습니다. 자세한 내용은 "리포지토리 보안 권고에 대한 REST API 엔드포인트"을(를) 참조하세요.

  1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다.

    탭을 보여 주는 리포지토리 헤더의 스크린샷. "보안" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 왼쪽 사이드바의 "보고"에서 Advisories를 클릭합니다.

  4. 새 초안 보안 공지를 클릭하여 초안 공지 양식을 엽니다. 별표로 표시된 필드는 필수 사항입니다.

  5. 제목 필드에 보안 공지의 제목을 입력합니다.

  6. CVE 식별자 드롭다운 메뉴를 사용하여 CVE 식별자가 이미 있는지 또는 나중에 GitHub에서 요청할 것인지를 지정합니다. 기존 CVE 식별자가 있는 경우 기존 CVE 식별자가 있음을 선택하여 기존 CVE 필드를 표시하고 이 필드에 CVE 식별자를 입력합니다. 자세한 내용은 "리포지토리 보안 공지 정보"을(를) 참조하세요.

  7. 설명 필드에 영향, 사용 가능한 패치 또는 해결 방법, 참조 등을 포함하여 보안 취약성에 대한 설명을 입력합니다.

  8. "영향을 받는 제품"에서 이 보안 권고에서 설명하는 보안 취약성에 대한 에코시스템, 패키지 이름, 영향을 받는/패치된 버전 및 취약한 함수를 정의합니다. 해당하는 경우 영향을 받는 다른 제품 추가를 클릭하여 영향을 받는 여러 제품을 동일한 권고에 추가할 수 있습니다.

    영향을 받는 버전을 포함하여 양식에 대한 정보를 지정하는 방법에 대한 자세한 내용은 "AUTOTITLE"을(를) 참조하세요.

  9. 심각도 드롭다운 메뉴를 사용하여 보안 취약성의 심각도를 정의합니다 . CVSS 점수를 계산하려면 CVSS를 사용하여 심각도 평가를 선택한 다음, 계산기에서 적절한 값을 선택합니다. GitHub는 일반적인 취약성 채점 시스템 계산기에 따라 점수를 계산합니다.

  10. "약점"의 Common Weakness Enumerator 필드에 이 보안 권고에서 보고하는 보안 약점의 종류를 설명하는 CWE(Common Weakness Enumerator)를 입력합니다. 전체 CWE 목록은 MITRE의 “Common Weakness Enumeration”을 참조하세요.

  11. 필요에 따라 "크레딧"에서 GitHub 사용자 이름, GitHub 계정과 연결된 이메일 주소 또는 전체 이름을 검색하여 크레딧을 추가합니다.

    • 크레딧 유형을 할당하려면 크레딧을 받는 사람의 이름 옆에 있는 드롭다운 메뉴를 사용하세요. 크레딧 유형에 대한 자세한 내용은 리포지토리 보안 공지에 대한 크레딧 정보 섹션을 참조하세요.

      초안 보안 공지의 스크린샷. "크레딧 유형 선택" 레이블의 드롭다운 메뉴가 주황색 윤곽선으로 강조 표시됩니다.

    • 필요에 따라 다른 사용자를 제거하려면 크레딧 유형 옆에 있는 을(를) 클릭합니다.

  12. 보안 공지 초안 만들기를 클릭합니다.

“기여 인정” 섹션에 나열되어 있는 사용자는 기여 인정을 수락하도록 요청하는 메일 또는 웹 알림을 받게 됩니다. 사용자가 수락하면 보안 공지가 게시될 때 사용자 이름이 공개적으로 표시됩니다.

리포지토리 보안 공지에 대한 크레딧 정보

보안 취약성을 발견하고 보고하거나 수정하는 데 도움을 준 사람의 기여를 인정할 수 있습니다. 누군가의 기여를 인정하는 경우 상대는 이를 수락하거나 거절할 수 있습니다.

다른 유형의 크레딧을 사용자에게 할당할 수 있습니다.

크레딧 유형원인
Finder취약성 식별
보고자공급업체에 CNA에 대한 취약성을 알릴 수 있습니다
Analyst취약성의 유효성을 검사하여 정확도 또는 심각도를 확인합니다
코디네이터조정된 응답 프로세스를 용이하게 합니다
수정 개발자코드 변경 또는 기타 수정 계획 준비
수정 검토자취약성 수정 계획 또는 코드 변경 내용을 검토하여 효율성과 완전성을 평가합니다
수정 검증 도구취약성 또는 수정을 테스트하고 확인합니다
도구취약성 검색 또는 식별에 사용되는 도구의 이름
스폰서취약성 식별 또는 수정 활동 지원

누군가가 기여에 대한 인정을 수락하면 해당 사용자의 사용자 이름이 보안 공지의 “기여 인정” 섹션에 표시됩니다. 리포지토리에 대한 읽기 권한이 있는 사람은 누구나 공지와 기여 인정을 수락한 사람을 볼 수 있습니다.

Note

보안 권고에 대한 크레딧을 받아야 한다고 생각되면 권고 작성자에게 연락하여 자신의 크레딧을 포함하도록 권고의 수정을 요청하세요. 공지 작성자만 기여를 인정할 수 있으므로 보안 공지 기여 인정에 대해서는 GitHub 지원에 문의하지 마세요.

다음 단계