search

오픈소스 패키지의 취약점 공개

이 페이지에 설명된 프로그램을 통해 Snyk은 커뮤니티가 오픈 소스 패키지의 잠재적인 취약점을 보고하도록 장려하여 보안 강화를 위한 신속한 식별, 검증 및 해결을 촉진합니다.

Snyk은 보안 커뮤니티를 소중히 여기며 오픈 소스 패키지의 보안 취약점에 대한 책임 있는 공개arrow-up-right가 모든 사용자의 보안 및 개인 정보 보호를 보장하는 데 도움이 된다고 믿습니다. Snyk은 관리되는 오픈 소스 코드에서 발견된 보안 문제를 보고할 수 있는 보안 커뮤니티를 위한 공개 프로그램을 제공하는 것을 목표로 합니다.

Snyk 책임 있는 공개 프로그램은 유지 관리자와 보고하는 연구원 모두를 보호하여 오픈 소스 코드를 사용하는 유지 관리자와 개발자가 공개 전에 이러한 취약점 발견의 이점을 안전하게 누리고, 해당 연구원들의 헌신에 대해 공로를 인정받을 수 있도록 합니다.

hashtag
Snyk의 취약점 공개 프로그램

Snyk 취약점 공개 프로그램의 주요 단계는 다음과 같습니다.

  1. 모든 연구원 또는 개발자는 오픈 소스 보안 취약점arrow-up-right에 대한 보고서를 전체 세부 정보와 함께 제출하도록 초대됩니다.

  2. Snyk 보안 팀은 보고서의 주장을 검증하고 관련 위험의 심각도를 평가합니다. 자세한 내용은 분류 및 검증을 참조하십시오.

  3. Snyk은 여러 채널을 통해 영향을 받는 프로젝트의 소유자 또는 유지 관리자에게 연락합니다. 자세한 내용은 패키지 유지 관리자에게 통지를 참조하십시오.

  4. Snyk은 취약점 세부 정보를 전달하고 잠재적인 수정 사항에 대해 조언하며 유지 관리자와 함께 공개 공개 일정을 협의합니다. 자세한 내용은 수정 지원을 참조하십시오.

  5. Snyk은 연구원에게 모든 공로를 인정하며 취약점을 공개합니다. 자세한 내용은 공개 공개를 참조하십시오.

  6. Snyk은 공식적으로 인정된 CVE 중앙 명명 기관(CNA)으로서 취약점에 CVE를 할당합니다.

circle-info

Snyk은 Snyk에 의해 발견되거나 직접 공개된 취약점에 대해서만 CVE를 할당할 수 있습니다. 타사에 의해 발견되고 공개된 취약점에 CVE가 할당되지 않은 경우 해당 타사에 문의하십시오.

hashtag
Snyk에 취약점 보고

취약점 보고서는 [email protected]로 직접 제출하거나 Snyk 취약점 공개 양식을 사용하여 제출할 수 있습니다: https://snyk.io/vulnerability-disclosure/.arrow-up-right 제출된 취약점 보고서에는 최소한 다음 세부 정보가 포함되어야 합니다.

  • 영향을 받는 모듈

  • 관련 패키지 관리자 및 생태계

  • 취약점 세부 정보

  • 재현 단계

보고서 접수 시 Snyk은 유지 관리자에게 통지하기 전에 각 보고된 취약점을 검증하고 문서화합니다.

이메일로 Snyk에 전송된 취약점 공개는 다음 PGP 키를 사용하여 암호화할 수도 있습니다.

hashtag
분류 및 검증

제출된 취약점 보고서를 검증한 후, 분석가는 보고서에 첨부된 연락처 정보를 사용하여 제출자에게 연락하여 보고서 수신을 확인하고 취약점 세부 정보 및 분석가가 할당한 심각도에 대해 논의합니다.

제출된 취약점이 이미 공개적으로 공개되었지만 Snyk 취약점 데이터베이스arrow-up-right에 누락된 경우, Snyk에 의해 검증되면 이 취약점은 데이터베이스에 추가 및 게시됩니다.

hashtag
패키지 유지 관리자에게 통지

제출된 취약점이 성공적으로 검증되면 Snyk은 패키지 유지 관리자에게 연락하여 내부 해결 프로세스를 시작하는 데 필요한 취약점 세부 정보를 제공합니다.

Snyk은 90일 책임 있는 공개 및 수정 일정을 따르며, 영향을 받는 패키지의 유지 관리자가 취약점이 공개되기 전에 수정 사항을 제공할 수 있도록 합니다. 유지 관리자의 요청에 따라 연장될 수 있으며, 공개된 취약점의 심각도에 따라 Snyk은 패치가 제공될 때까지 공개 공개를 기다릴 수 있습니다.

hashtag
30일 후

유지 관리자가 원래 통지 후 30영업일 이내에 초기 공개 이메일에 응답하지 않거나 응답하지 않는 경우, Snyk은 영향을 받는 패키지의 원래 연락처와 공개적으로 사용할 수 있는 보조 연락처가 있는 경우 최소 하나의 보조 연락처에 취약점 세부 정보를 재전송합니다.

hashtag
40일 후

두 번째 통지 후 유지 관리자로부터 10영업일 동안 응답이 없는 경우(총 40영업일), 취약점 세부 정보는 이전 두 연락처뿐만 아니라 Snyk의 재량에 따라 고객 및 기타 영향을 받는 이해 관계자에게도 재전송됩니다.

hashtag
50일 후

패키지 유지 관리자가 세 번째 통지 후 10영업일 이내에 세 번의 통지 시도 중 어느 하나에도 응답하지 않거나(원래 통지 후 50영업일), 유지 관리자가 공개 협력을 원하지 않는다고 표시하는 경우, Snyk은 추가 협력 없이 공개 권고를 발행할 수 있습니다.

hashtag
수신 확인

유지 관리자는 다음 세부 정보와 함께 통지 수신을 확인해야 합니다.

  • 취약점 정보가 수신되었는지 확인

  • 조사 예정 일정.

  • 조직 내에서 문제에 대한 정보를 조정하고 추적할 책임이 있는 연락 담당자.

  • 통지에 제공된 대로 보안 문제에 대한 초기 조사를 완료할 것으로 예상하는 시기에 대한 추정치.

hashtag
수정 지원

유지 관리자가 통지 수신을 확인한 후 Snyk은 유지 관리자와 협력하여 10영업일 이내에 보안 문제를 처리하는 방법을 결정합니다. 다음 작업이 이 단계에 포함됩니다.

  • Snyk은 솔루션 개발을 지원하기 위해 유지 관리자에게 추가 정보를 기꺼이 제공합니다.

  • 유지 관리자와 Snyk은 문제의 공개 공개 및 수정을 위해 협력합니다.

hashtag
공개 공개

공개 공개 단계의 일부로 Snyk은 다음을 수행합니다.

공개 공개는 수정 지원 단계를 완료하거나 이전 단계에서 프로세스 실패를 통해 시작될 수 있습니다.

공개 공개 단계 동안 Snyk과 (가능하다면) 유지 관리자는 취약점 및 수정 사항에 대한 정보를 대중에게 배포합니다. Snyk은 의도된 대상에게 도달하기 위해 적절하다고 판단되는 공개 이메일 목록, 웹 페이지 또는 기타 매체를 통해 정보를 배포할 수 있습니다.

Previous지역 호스팅 및 데이터 상주Next보안 문제 보고

Last updated