사용 중단 참고: GitHub은(는) GitHub Advanced Security(GHAS)를 사용하도록 설정하지 않은 프라이빗 리포지토리에서 리포지토리 보안 공지를 더 이상 사용하지 않습니다. 2024년 2월 15일부터, GHAS를 사용하도록 설정하지 않은 프라이빗 리포지토리에서 더 이상 보안 공지를 생성할 수 없습니다.
이 사용 중단은 퍼블릭 리포지토리에 게시된 보안 공지에는 영향을 주지 않습니다. 이는 또한 GHAS를 사용하도록 설정한 프라이빗 리포지토리의 보안 공지에도 영향을 주지 않습니다.
GHAS를 사용하도록 설정하지 않은 프라이빗 리포지토리에 이전에 게시된 공지는 사라집니다. 이전에 게시된 공지를 저장해야 하는 경우 GitHub REST API를 사용하여 다운로드할 수 있습니다. 자세한 정보는 REST API 설명서의 "리포지토리 보안 공지"을 참조하세요.
리포지토리에 대한 관리자 권한이 있는 모든 사용자가 보안 권고를 만들 수 있습니다.
리포지토리에 대한 관리자 권한이 있는 모든 사용자에게는 해당 리포지토리의 모든 보안 권고에 대한 관리자 권한도 있습니다. 보안 권고에 대한 관리자 권한이 있는 사용자는 협력자를 추가할 수 있으며 협력자는 보안 권고에 대한 쓰기 권한을 갖습니다.
참고: 보안 연구원인 경우 관리자에게 직접 연락하여 관리하지 않는 리포지토리에서 보안 권고를 만들거나 CVE를 대신 발급하도록 요청해야 합니다. 그러나 리포지토리에 대해 프라이빗 취약성 보고를 사용하도록 설정한 경우 취약성을 직접 보고할 수 있습니다. 자세한 내용은 "보안 취약성 비공개 보고"을 참조하세요.
About repository security advisories
취약성 공개는 보안 연구원과 프로젝트 유지 관리자와 같은 취약성 보고자 간의 협업이 매우 중요한 영역입니다. 두 당사자는 잠재적으로 유해한 보안 취약성이 발견되는 순간부터 취약성이 전 세계에 공개되고 이상적으로는 패치를 사용할 수 있게 되기까지 함께 작업해야 합니다. 일반적으로 누군가가 유지 관리자에게 비공개로 보안 취약성을 알리면 유지 관리자는 수정 사항을 개발하고, 유효성을 검사하며, 프로젝트 또는 패키지 사용자에게 알립니다. For more information, see "보안 취약성의 조정된 공개 정보."
리포지토리 보안 공지를 사용하면 리포지토리 유지 관리자가 프로젝트의 보안 취약성을 비공개로 논의하고 수정할 수 있습니다. 수정 사항을 공동으로 수행한 후 리포지토리 관리자는 보안 공지를 게시하여 보안 취약성을 프로젝트 커뮤니티에 공개적으로 공개할 수 있습니다. 리포지토리 관리자는 보안 공지를 게시하여 커뮤니티가 더 쉽게 패키지 종속성을 업데이트하고 보안 취약성의 영향을 조사할 수 있습니다.
With repository security advisories, you can:
- Create a draft security advisory, and use the draft to privately discuss the impact of the vulnerability on your project. For more information, see "리포지토리 보안 공지 만들기."
- Privately collaborate to fix the vulnerability in a temporary private fork.
- Publish the security advisory to alert your community of the vulnerability once a patch is released. For more information, see "리포지토리 보안 공지 게시."
리포지토리 보안 공지를 사용하여 취약성의 세부 정보를 복사하여 새 보안 공지에 붙여 넣어 이미 다른 곳에서 공개한 보안 취약성의 세부 정보를 다시 게시할 수도 있습니다.
You can also use the REST API to create, list, and update repository security advisories. For more information, see "리포지토리 보안 공지" in the REST API documentation.
You can give credit to individuals who contributed to a security advisory. For more information, see "리포지토리 보안 공지 편집."
보안 정책을 만들어 프로젝트의 보안 취약성을 보고하는 지침을 사용자에게 제공할 수 있습니다. 자세한 내용은 "Adding a security policy to your repository(리포지토리에 보안 정책 추가)"을 참조하세요.
If you created a security advisory in your repository, the security advisory will stay in your repository. We publish security advisories for any of the ecosystems supported by the dependency graph to the GitHub Advisory Database on github.com/advisories. Anyone can submit a change to an advisory published in the GitHub Advisory Database. For more information, see "GitHub Advisory Database에서 보안 권고 편집."
If a security advisory is specifically for npm, we also publish the advisory to the npm security advisories. For more information, see npmjs.com/advisories.
GitHub Security Lab에 참가하여 보안 관련 항목을 찾아보고 보안 도구 및 프로젝트에 기여할 수도 있습니다.
CVE identification numbers
GitHub Security Advisories builds upon the foundation of the Common Vulnerabilities and Exposures (CVE) list. The security advisory form on GitHub is a standardized form that matches the CVE description format.
GitHub is a CVE Numbering Authority (CNA) and is authorized to assign CVE identification numbers. For more information, see "About CVE" and "CVE Numbering Authorities" on the CVE website.
When you create a security advisory for a public repository on GitHub, you have the option of providing an existing CVE identification number for the security vulnerability. 프로젝트의 보안 취약성에 대한 CVE 식별 번호를 원하지만 아직 보유하지 않은 경우 GitHub에서 CVE 식별 번호를 요청할 수 있습니다. GitHub는 일반적으로 72시간 이내에 요청을 검토합니다. CVE 식별 번호를 요청해도 보안 공지가 공개되지는 않습니다. 보안 공지가 CVE에 적합한 경우 GitHub는 공지에 CVE 식별 번호를 예약합니다. 그런 다음 보안 공지를 공개하면 CVE 세부 정보가 게시됩니다. 보안 공지에 대한 관리자 권한이 있는 사람은 누구나 CVE 식별 번호를 요청할 수 있습니다.
사용하려는 CVE가 이미 있는 경우(예: GitHub 이외의 CNA(CVE Numbering Authority)를 사용하는 경우) 보안 공지 양식에 CVE를 추가합니다. 예를 들어 게시 시 보낼 다른 통신과 일관된 권고를 원하는 경우 해당 상황이 발생할 수 있습니다. 다른 CNA에서 프로젝트를 다루는 경우 GitHub는 프로젝트에 CVE를 할당할 수 없습니다.
Once you've published the security advisory and GitHub has assigned a CVE identification number to the vulnerability, GitHub publishes the CVE to the MITRE database. For more information, see "리포지토리 보안 공지 게시."
Dependabot alerts for published security advisories
GitHub은 게시된 각 보안 권고를 검토하고, GitHub Advisory Database에 추가하고, 보안 권고를 사용하여 영향을 받는 리포지토리에 Dependabot alerts를 보낼 수 있습니다. 보안 권고가 포크에서 제공되는 경우 포크가 퍼블릭 패키지 레지스트리에 고유한 이름으로 게시된 패키지를 소유하는 경우에만 경고를 보냅니다. 이 프로세스는 최대 72시간이 걸릴 수 있으며 GitHub에서 자세한 내용을 보려면 연락할 수 있습니다.
Dependabot alerts에 대한 자세한 내용은 "Dependabot 경고 정보" 및 "Dependabot 보안 업데이트 정보"을(를) 참조하세요. GitHub Advisory Database에 대한 자세한 내용은 “GitHub Advisory Database에서 보안 권고 탐색”을(를) 참조하세요.