Skip to main content
설명서에 자주 업데이트를 게시하며 이 페이지의 번역이 계속 진행 중일 수 있습니다. 최신 정보는 영어 설명서를 참조하세요.
All products
코드 보안

리포지토리 보안 권고 작성 모범 사례

이 문서의 내용

보안 권고를 만들거나 편집할 때 제공하는 정보는 표준 형식을 사용하여 에코시스템, 패키지 이름 및 영향을 받는 버전을 지정할 때 다른 사용자가 더 쉽게 이해할 수 있습니다.

리포지토리에 대한 관리자 권한이 있는 모든 사용자는 보안 공지 사항을 만들고 편집할 수 있습니다.

참고: 보안 연구원인 경우 관리자에게 직접 연락하여 관리하지 않는 리포지토리에서 보안 권고를 만들거나 CVE를 대신 발급하도록 요청해야 합니다. 그러나 리포지토리에 대해 프라이빗 vulnerabiliy 보고를 사용하도록 설정한 경우 취약성을 직접 보고할 수 있습니다. 자세한 내용은 "보안 취약성 비공개 보고"을 참조하세요.

리포지토리에 대한 보안 권고 정보

리포지토리 보안 권고를 사용하면 리포지토리 유지 관리자가 프로젝트의 보안 취약성을 비공개로 논의하고 수정할 수 있습니다. 수정 사항을 공동으로 수행한 후 리포지토리 관리자는 보안 공지를 게시하여 보안 취약성을 프로젝트 커뮤니티에 공개적으로 공개할 수 있습니다. 리포지토리 관리자는 보안 공지를 게시하여 커뮤니티가 더 쉽게 패키지 종속성을 업데이트하고 보안 취약성의 영향을 조사할 수 있습니다. 자세한 내용은 "리포지토리 보안 권고 정보.

모범 사례

리포지토리 보안 공지 사항을 작성하거나 전역 보안 공지에서 커뮤니티 기여를 할 때 GitHub Advisory Database에 사용되는 구문, 특히 버전 서식을 사용하는 것이 좋습니다.

특히 영향을 받는 버전을 정의할 때 GitHub Advisory Database에 대한 구문을 따르는 경우:

  • 리포지토리 권고를 게시할 때 추가 정보를 요청하지 않고도 GitHub Advisory Database에 권고를 "GitHub-reviewed" 권고로 추가할 수 있습니다.
  • Dependabot에는 영향을 받는 리포지토리를 정확하게 식별하고 Dependabot alerts(으)로 보내 알림을 보내는 정보가 있습니다.
  • 커뮤니티 구성원은 누락되거나 잘못된 정보를 수정하기 위해 권고에 대한 편집을 제안할 가능성이 적습니다.

초안 보안 공지 양식을 사용하여 리포지토리 공지 사항을 추가하거나 편집합니다. 자세한 내용은 "리포지토리 보안 공지 만들기"을 참조하세요.

보안 공지 개선 양식을 사용하여 기존 글로벌 공지 의 개선을 제안합니다. 자세한 내용은 "GitHub Advisory Database에서 보안 권고 편집"을 참조하세요.

에코시스템

에코시스템 필드를 사용하여 지원되는 에코시스템 중 하나에 권고를 할당해야 합니다. 지원하는 에코시스템에 대한 자세한 내용은 "GitHub Advisory Database에서 보안 권고 탐색.

보안 공지 양식의 "영향을 받는 제품" 영역의 스크린샷 "에코시스템" 필드는 진한 주황색 윤곽선으로 강조 표시됩니다.

패키지 이름

패키지 이름 필드를 사용하여 GitHub Advisory Database의 "GitHub-reviewed" 권고에 패키지 정보가 필요하기 때문에 영향을 받는 패키지를 지정하는 것이 좋습니다. 패키지 정보는 리포지토리 수준 보안 권고에 선택 사항이지만 이 정보를 조기에 포함하면 보안 공지 사항을 게시할 때 검토 프로세스가 간소화됩니다.

영향을 받는 버전

이 정보는 GitHub Advisory Database의 "GitHub-reviewed" 권고에 필요하기 때문에 영향을 받는 버전 필드를 사용하여 영향을 받는 버전을 지정하는 것이 좋습니다. 버전 정보는 리포지토리 수준 보안 권고에 선택 사항이지만 이 정보를 조기에 포함하면 보안 공지 사항을 게시할 때 검토 프로세스가 간소화됩니다.

  • 영향을 받는 유효한 버전 문자열은 다음 중 하나로 구성됩니다.

    • 하한 연산자 시퀀스입니다.
    • 상한 연산자 시퀀스입니다.
    • 상한 연산자 시퀀스와 하한 연산자 시퀀스 모두입니다.
    • 같음(=) 연산자를 사용하는 특정 버전 시퀀스입니다.

  • 각 연산자 시퀀스를 연산자, 단일 공백 및 버전으로 지정해야 합니다.

    • 유효한 연산자는 , <, <=, >또는 >=입니다=.

    • 버전은 숫자와 숫자, 문자, 점, 대시 또는 밑줄(공백 또는 쉼표 이외의 항목)으로 시작해야 합니다.

    • 상한 시퀀스와 하한 시퀀스를 모두 지정하는 경우 하한이 먼저 와야 하고 그 뒤에 쉼표와 단일 공백, 상한이 와야 합니다.

      참고: 영향을 받는 버전 문자열에는 선행 또는 후행 공백이 포함될 수 없습니다.

  • 상한 연산자는 포괄 또는 배타적일 수 있습니다(예: <= 또는 <).

  • 하한 연산자는 포괄 또는 배타적일 수 있습니다(예: >= 또는 >). 그러나 리포지토리 권고를 게시하고 리포지토리 권고를 전역 권고로 졸업하는 경우 다른 규칙이 적용됩니다. 하한 문자열은 포함할 수 있습니다(예: ). >= 전용 하한 연산자(>)는 버전이 인 경우에만 허용됩니다 0(예 > 0: ).

    노트: 하한 제한:

    • OSV(오픈 소스 취약성) 스키마와의 비호환성 때문입니다.
    • GitHub Advisory Database의 기존 권고에 대한 제안을 할 때만 적용됩니다.

  • 와 같은 > 2.0, < 2.3, > 3.0, < 3.2동일한 필드에 영향을 받는 버전 범위를 여러 개 지정할 수 없습니다. 둘 이상의 범위를 지정하려면 + 영향을 받는 다른 제품 추가 단추를 클릭하여 각 범위에 대해 영향을 받는 새 제품 섹션을 만들어야 합니다.

    보안 공지 양식의 "영향을 받는 제품" 영역의 스크린샷 "영향을 받는 다른 제품 추가"라는 레이블이 지정된 링크가 진한 주황색 윤곽선으로 강조 표시됩니다.

  • 영향을 받는 버전 범위에 상한 또는 하한이 하나만 포함된 경우:

    • 암시적 값은 하한이 명시적으로 지정되지 않은 경우 항상 > 0 입니다.
    • 상한이 명시적으로 지정되지 않은 경우 암시적 값은 항상 무한대입니다.

GitHub Advisory Database에 대한 자세한 내용은 를 참조하세요 https://github.com/github/advisory-database.