Skip to main content

조직에 대한 비공개 취약성 보고 구성

조직 소유자 및 보안 관리자는 보안 연구원이 모든 공용 리포지토리에 대한 비공개 취약성 보고를 사용할 수 있도록 설정하여 조직 내 리포지토리에서 취약성을 안전하게 보고할 수 있도록 할 수 있습니다.

누가 이 기능을 사용할 수 있나요?

Anyone with admin permissions to an organization, or with a security manager role within the organization, can enable and disable private vulnerability reporting for that organization.

보안 취약성 비공개 보고 정보

보안 연구원은 종종 악용될 수 있는 취약성에 대해 사용자에게 경고할 책임이 있다고 생각합니다. 취약성이 포함된 리포지토리의 유지 관리자에게 연락하는 방법에 대한 명확한 지침이 없는 경우 보안 연구원은 소셜 미디어에 취약성에 대해 게시하거나, 유지 관리자에게 직접 메시지를 보내거나, 공개 문제를 만들 수밖에 없습니다. 이 경우 취약성에 대한 세부 정보가 공개될 수 있습니다.

비공개 취약성 보고를 사용하면 보안 연구원이 간단한 양식을 사용하여 취약성을 직접 보고할 수 있습니다.

보안 연구원이 취약성을 비공개로 보고하면 알림을 받고 이를 수락하거나, 더 많은 질문을 하거나, 거부할 수 있습니다. 보고서를 수락하면 보안 연구원과 비공개로 취약성에 대한 수정 사항을 공동 작업할 수 있습니다.

조직 소유자 및 보안 관리자는 비공개 취약성 보고를 사용하여 다음과 같은 이점을 얻을 수 있습니다. * 공개적으로 연락하거나 원치 않는 수단을 통해 연락할 위험이 적습니다.

  • 간단하게 해결할 수 있는 동일한 플랫폼에서 보고서를 받습니다.
  • 보안 연구원은 유지 관리자를 대신하여 자문 보고서를 만들거나 적어도 시작합니다.
  • 유지 관리자는 권고를 논의하고 해결하는 데 사용되는 것과 동일한 플랫폼에서 보고서를 받습니다.
  • 취약성은 대중의 시선에 있을 가능성이 적습니다.
  • 보안 연구원과 취약성 세부 정보를 비공개로 논의하고 패치에 대해 공동 작업할 수 있는 기회입니다.

아래 지침은 조직 수준에서의 사용 설정을 참조합니다. 리포지토리에 기능을 사용하도록 설정하는 방법에 대한 자세한 내용은 "리포지토리에 대한 프라이빗 취약성 보고 구성"을(를) 참조하세요.

프라이빗 취약성 보고가 활성화된 리포지토리에서 새 취약성이 비공개로 보고되면 GitHub Enterprise Cloud은(는) 리포지토리 유지 관리자 및 보안 관리자에게 다음과 같은 경우 알림을 제공합니다.

  • 모든 활동에 대해 리포지토리를 보고 있습니다.
  • 리포지토리에 대해 알림이 활성화되어 있습니다.

알림 기본 설정을 구성하는 방법에 대한 자세한 내용은 "리포지토리에 대한 프라이빗 취약성 보고 구성"을 참조하세요.

조직에 추가한 공용 리포지토리에 대한 비공개 취약성 보고 사용 또는 사용 안 함 설정

GitHub-recommended security configuration을(를) 사용하여 조직에 추가된 새 공용 리포지토리에 대한 프라이빗 취약성 보고를 사용하거나 사용하지 않도록 설정하거나 custom security configuration을(를) 만들 수 있습니다. 자세한 내용은 "조직에서 GitHub 권장 보안 구성 적용" 및 "Creating a custom security configuration" 항목을 참조하세요.

리포지토리의 비공개 취약성 보고를 사용하도록 설정한 경우 보안 연구원이 볼 수 있는 것

리포지토리에 대해 프라이빗 취약성 보고를 사용하도록 설정하면 보안 연구원이 리포지토리의 권고 페이지에서 새 단추를 확인할 수 있습니다. 보안 연구원은 이 단추를 클릭하여 보안 취약성을 리포지토리 유지 관리자에게 비공개로 보고할 수 있습니다.

프라이빗 취약성 보고를 사용하도록 설정한 경우 리포지토리의 "취약성 보고" 단추를 보여 주는 스크린샷.

보안 연구원은 REST API를 사용하여 보안 취약성을 비공개로 보고할 수도 있습니다. 자세한 내용은 "보안 취약성을 비공개로 보고"를 참조하세요.