참고: 보안 연구원인 경우 관리자에게 직접 연락하여 관리하지 않는 리포지토리에서 보안 권고를 만들거나 CVE를 대신 발급하도록 요청해야 합니다. 그러나 리포지토리에 대해 프라이빗 vulnerabiliy 보고를 사용하도록 설정한 경우 취약성을 직접 보고할 수 있습니다. 자세한 내용은 "보안 취약성 비공개 보고"을 참조하세요.
Creating a security advisory(보안 공지 만들기)
REST API를 사용하여 리포지토리 보안 권고를 만들 수도 있습니다. 자세한 내용은 REST API 설명서의 "리포지토리 보안 권고"을 참조하세요.
-
GitHub.com에서 리포지토리의 기본 페이지로 이동합니다. 1. 리포지토리 이름 아래에서 보안을 클릭합니다. "보안" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음 보안을 클릭합니다.
-
새 초안 보안 공지 초안을 클릭하여 초안 자문 양식을 엽니다. 별표로 표시된 필드가 필요합니다.
-
제목 필드에 보안 공지 제목을 입력합니다.
-
CVE 식별자 드롭다운 메뉴를 사용하여 CVE 식별자가 이미 있는지 또는 나중에 GitHub에서 요청할 것인지를 지정합니다. 기존 CVE 식별자가 있는 경우 기존 CVE 필드를 표시할 기존 CVE 식별자가 있음 을 선택하고 필드에 CVE 식별자를 입력합니다. 자세한 내용은 "리포지토리 보안 권고 정보"을 참조하세요. 1. 설명 필드에 영향, 사용 가능한 패치 또는 해결 방법 및 참조를 포함하여 보안 취약성에 대한 설명을 입력합니다. 1. "영향을 받는 제품"에서 이 보안 공지에서 설명하는 보안 취약성에 대한 에코시스템, 패키지 이름, 영향을 받는/패치된 버전 및 취약한 기능을 정의합니다. 해당하는 경우 영향을 받는 다른 제품 추가를 클릭하여 영향을 받는 여러 제품을 동일한 권고에 추가할 수 있습니다.
영향을 받는 버전을 포함하여 양식에 대한 정보를 지정하는 방법에 대한 자세한 내용은 "리포지토리 보안 권고 작성 모범 사례"을 참조하세요. 1. 심각도 드롭다운 메뉴를 사용하여 보안 취약성의 심각도를 정의 합니다 . CVSS 점수를 계산하려면 CVSS를 사용하여 심각도 평가를 선택한 다음 계산기에서 적절한 값을 선택합니다. GitHub Enterprise Cloud은 (는) 일반적인 취약성 점수 매기기 시스템 계산기에 따라 점수를 계산합니다. 1. "약점"의 공통 약점 열거자 필드에 이 보안 공지에서 보고하는 보안 약점의 종류를 설명하는 일반적인 약점 열거자(CWU)를 입력합니다. 전체 CWE 목록은 MITRE의 “Common Weakness Enumeration”을 참조하세요.
-
필요에 따라 "크레딧"에서 GitHub 사용자 이름, GitHub 계정과 연결된 이메일 주소 또는 전체 이름을 검색하여 크레딧을 추가합니다.
-
크레딧 유형을 할당하기 위해 크레딧을 적립하는 사람의 이름 옆에 있는 드롭다운 메뉴를 사용합니다. 신용 유형에 대한 자세한 내용은 리포지토리 보안 권고에 대한 크레딧 정보 섹션을 참조하세요 .
-
필요에 따라 다른 사용자를 제거하려면 크레딧 유형 옆에 있는 을 클릭합니다.
-
-
보안 공지 초안 만들기를 클릭합니다.
“기여 인정” 섹션에 나열되어 있는 사용자는 기여 인정을 수락하도록 요청하는 메일 또는 웹 알림을 받게 됩니다. 사용자가 수락하면 보안 공지가 게시될 때 사용자 이름이 공개적으로 표시됩니다.
리포지토리 보안 권고에 대한 크레딧 정보
보안 취약성을 발견하고 보고하거나 수정하는 데 도움을 준 사람의 기여를 인정할 수 있습니다. 누군가의 기여를 인정하는 경우 상대는 이를 수락하거나 거절할 수 있습니다.
다른 유형의 크레딧을 사용자에게 할당할 수 있습니다.
| 신용 유형 | 이유 |
|---|---|
| Finder | 취약성 식별 |
| 기자 | 공급업체에 CNA에 대한 취약성을 알 수 있습니다. |
| Analyst | 취약성의 유효성을 검사하여 정확도 또는 심각도 보장 |
| 코디네이터 | 조정된 응답 프로세스를 용이하게 합니다. |
| 수정 개발자 | 코드 변경 또는 기타 수정 계획을 준비합니다. |
| 수정 검토자 | 효율성 및 완전성을 위해 취약성 수정 계획 또는 코드 변경 검토 |
| 수정 검증 도구 | 취약성 또는 수정을 테스트하고 확인합니다. |
| 도구 | 취약성 검색 또는 식별에 사용되는 도구의 이름 |
| 스폰서 | 취약성 식별 또는 수정 작업을 지원합니다. |
누군가가 기여에 대한 인정을 수락하면 해당 사용자의 사용자 이름이 보안 공지의 “기여 인정” 섹션에 표시됩니다. 리포지토리에 대한 읽기 권한이 있는 사람은 누구나 공지와 기여 인정을 수락한 사람을 볼 수 있습니다.
참고: 보안 권고에 대한 크레딧을 받아야 한다고 생각되는 경우 자문 작성자에 문의하고 크레딧을 포함하도록 권고를 편집하도록 요청하세요. 자문 작성자만 크레딧을 사용할 수 있으므로 보안 권고 크레딧에 대한 GitHub 지원에 문의하지 마세요.
다음 단계
- 보안 공지 초안에 주석을 달고 팀과 취약성에 대해 논의합니다.
- 보안 공지에 협력자를 추가합니다. 자세한 내용은 "리포지토리 보안 공지에 협력자 추가"을 참조하세요.
- 프라이빗 협업을 통해 임시 프라이빗 포크의 취약성을 해결합니다. 자세한 내용은 "리포지토리 보안 취약성을 해결하기 위해 임시 프라이빗 포크에서 협업"을 참조하세요.
- 보안 공지에 기여해서 기여를 인정받아야 하는 개인을 추가합니다. 자세한 내용은 "리포지토리 보안 공지 편집"을 참조하세요.
- 보안 공지를 게시하여 커뮤니티에 보안 취약성을 알립니다. 자세한 내용은 "리포지토리 보안 공지 게시"을 참조하세요.