참고: 취약성에 대한 프라이빗 보고는 현재 베타 버전이며 변경될 수 있습니다.
보안 취약성을 비공개로 보고하는 정보
보안 연구원은 종종 악용될 수 있는 취약성에 대해 사용자에게 경고할 책임이 있다고 생각합니다. 취약성이 포함된 리포지토리의 유지 관리자에게 연락하는 방법에 대한 명확한 지침이 없는 경우 보안 연구원은 소셜 미디어에 취약성에 대해 게시하거나, 유지 관리자에게 직접 메시지를 보내거나, 공개 문제를 만들 수 있는 것 외에는 다른 선택의 여지가 없을 수 있습니다. 이 상황은 잠재적으로 취약성 세부 정보의 공개로 이어질 수 있습니다.
프라이빗 취약성 보고를 사용하면 보안 연구원이 간단한 양식을 사용하여 취약성을 직접 보고할 수 있습니다.
보안 연구원이 취약성을 비공개로 보고하면 알림을 받고 이를 수락하거나, 더 많은 질문을 하거나, 거부할 수 있습니다. 보고서를 수락하면 보안 연구원과 비공개로 취약성에 대한 수정 사항을 공동 작업할 준비가 된 것입니다.
조직 소유자 및 보안 관리자의 경우 프라이빗 취약성 보고를 사용할 경우의 이점은 - 공개적으로 연락하거나 원치 않는 수단을 통해 연락할 위험이 줄어듭니다.
- 단순성을 위해 해결한 동일한 플랫폼에서 보고서를 받습니다.
- 보안 연구원은 유지 관리자를 대신하여 자문 보고서를 만들거나 적어도 시작합니다.
- 유지 관리자는 권고를 논의하고 해결하는 데 사용된 것과 동일한 플랫폼에서 보고서를 받습니다.
- 취약성은 대중의 눈에 있을 가능성이 적습니다.
- 취약성 세부 정보를 보안 연구원과 비공개로 논의하고 패치에 대해 공동 작업할 수 있는 기회입니다.입니다.
아래 지침은 조직 수준의 사용을 참조하세요. 리포지토리에 기능을 사용하도록 설정하는 방법에 대한 자세한 내용은 "리포지토리에 대한 프라이빗 취약성 보고 구성"을 참조하세요.
조직의 모든 기존 공용 리포지토리에 대한 프라이빗 취약성 보고 사용 또는 사용 안 함
-
GitHub.com의 오른쪽 위에서 프로필 사진을 클릭한 다음 내 조직을 클릭합니다.
-
사이드바의 "보안" 섹션에서 코드 보안 및 분석을 클릭합니다.
-
"코드 보안 및 분석"의 "프라이빗 취약성 보고" 오른쪽에서 모두 사용 또는 모두 사용 안 함을 클릭하여 조직 내의 모든 공용 리포지토리에 대해 각각 기능을 사용하거나 사용하지 않도록 설정합니다.
조직에 추가된 새 퍼블릭 리포지토리에 대한 프라이빗 취약성 보고 사용 또는 사용 안 함
-
GitHub.com의 오른쪽 위에서 프로필 사진을 클릭한 다음 내 조직을 클릭합니다.
-
사이드바의 "보안" 섹션에서 코드 보안 및 분석을 클릭합니다.
-
"코드 보안 및 분석"의 기능 오른쪽에서 새 퍼블릭 리포지토리에 대해 자동으로 사용을 클릭합니다.
-
"프라이빗 취약성 보고" 오른쪽에서 모두 사용 또는 모두 사용 안 함을 클릭하여 각각 조직에 추가될 모든 새 퍼블릭 리포지토리에 대한 기능을 사용하거나 사용하지 않도록 설정합니다.
리포지토리에 대해 프라이빗 취약성 보고를 사용하도록 설정한 것은 보안 연구원의 모습입니다.
리포지토리에 대해 프라이빗 취약성 보고를 사용하도록 설정하면 보안 연구원이 리포지토리의 권고 페이지에 새 단추가 표시됩니다. 보안 연구원은 이 단추를 클릭하여 리포지토리 유지 관리자에게 보안 취약성을 비공개로 보고할 수 있습니다.
