오픈 소스 패키지의 취약점 공개

이 페이지에서 설명하는 프로그램을 통해 Snyk은 오픈 소스 패키지의 잠재적인 취약점을 보고받도록 커뮤니티를 장려하여 보안을 강화하기 위한 신속한 식별, 확인 및 개선을 용이하게 합니다.

Snyk은 보안 커뮤니티를 소중히 여기며 오픈 소스 패키지의 보안 취약점을 책임 있게 공개함으로써 사용자들의 보안과 개인 정보 보호를 보장할 수 있다고 믿습니다. Snyk은 오픈 소스 코드 내에서 발견된 보안 문제를 보고할 수 있는 보고 프로그램을 제공하는 것을 목표로 삼고 있습니다.

Snyk의 책임 있는 공개 프로그램은 유지자와 보고자 모두를 보호하고, 공개 전에 이러한 취약점을 발견한 연구원들에게 공개 전에 발생 가능한 이득을 안전하게 제공하고, 그 연구원들에게 노력에 대해 인정을 해줍니다.

Snyk의 취약점 공개 프로그램

Snyk 취약점 공개 프로그램의 주요 단계는 다음과 같습니다:

  1. 어떠한 연구원 또는 개발자든지 세부 정보를 포함하여 오픈 소스 보안 취약점에 대한 보고서를 제출할 수 있습니다.

  2. Snyk 보안 팀은 보고서의 주장과 관련 위험의 심각성을 확인합니다. 자세한 내용은 중요도 평가 및 확인를 참조하십시오.

  3. Snyk은 다양한 채널을 통해 영향을 받는 프로젝트의 소유자나 유지자에게 연락합니다. 자세한 내용은 패키지 유지자에 대한 통보를 참조하십시오.

  4. Snyk은 취약성 세부 정보를 전달하고 잠재적인 수정 사항에 대해 조언하며, 유지자와 함께 공개 공시 일정을 협업합니다. 자세한 내용은 수정 지원를 참조하십시오.

  5. Snyk은 연구원에게 충분한 공과를 부여하면서 취약성을 공개합니다. 자세한 내용은 공개 공시를 참조하십시오.

  6. Snyk은 공식적으로 인정된 CVE 중앙 네이밍 권한 (CNA)로서 취약점에 CVE를 할당합니다.

Snyk에 취약점 보고하기

연구원은 취약점 보고서를 최소한 다음 세부 정보를 포함하여 [email protected]로 직접 제출하거나 Snyk 취약점 공개 양식을 사용하여 제출할 수 있습니다: https://snyk.io/vulnerability-disclosure/. 제출된 취약점 보고서는 다음을 최소한으로 포함해야 합니다:

  • 영향 받는 모듈

  • 관련 패키지 관리자 및 생태계

  • 취약성 세부 정보

  • 재현 방법

보고서를 받은 후 Snyk은 유지자에게 통보하기 전에 각 보고된 취약성을 확인하고 문서화합니다.

Snyk에 이메일로 보고된 취약점 공개는 다음 PGP 키를 사용하여 암호화할 수도 있습니다:

-----BEGIN PGP PUBLIC KEY BLOCK-----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=IJDM
-----END PGP PUBLIC KEY BLOCK-----

중요도 평가 및 확인

보고된 취약점 보고서를 확인한 후, 분석가는 보고서에 첨부된 연락처를 사용하여 보고자에게 연락하여 보고서를 수신한 사실을 인정하고, 할당된 취약성 세부 정보 및 심각성에 대해 논의합니다.

제출된 취약점이 이미 공개된 경우이고 Snyk 취약점 데이터베이스에 누락된 경우, Snyk에서 확인한 후에 이 취약점이 데이터베이스에 추가되어 게시됩니다.

패키지 유지자에 대한 통보

제출된 취약점이 성공적으로 확인된 후, Snyk은 패키지의 유지자에게 내부 해결 프로세스를 시작할 수 있는 취약성 세부 정보를 제공하기 위해 연락합니다.

Snyk은 취약한 패키지의 유지자가 공개 전에 수정이 가능하도록 90일의 책임 있는 공개 및 수정 시한을 준수합니다. 유지자의 요청에 따라 연장이 제공되며, 공개된 취약점의 심각성에 따라 Snyk은 패치가 제공될 때까지 공개 공개를 기다릴 의향이 있습니다.

30일 후

초기 통보 이메일을 받은 후 유지자가 30 영업일 이내에 답장이나 확인을 하지 않을 경우, Snyk은 취약성 세부 정보를 해당 패키지의 초기 연락 지점 및 최소한 하나의 공개적으로 이용 가능한 보조 연락처에 재전송합니다.

40일 후

두 번째 통지 이후 유지자로부터 응답이 없는 경우 (총 40 영업일), 공개 공시 전에 패치가 가능하도록 취약성 세부 정보가 해당 패키지의 초기 연락점 및 최소한 하나의 공개적으로 이용 가능한 보조 연락처에 재전송됩니다.

50일 후

패키지 유지 관리자가 원래 통지 후 50 영업일(세 번째 통지 이후 10 영업일 추가) 내에 세 번의 통지 시도 중 어느 것에도 응답하지 않거나 유지자가 공개 공개를 조정하고 싶지 않다고 나타내는 경우, Snyk은 더 이상의 협력 없이 공개 공시를 발표할 수 있습니다.

수령 확인

유지자는 다음 세부 정보와 함께 통지 수령을 인정해야 합니다:

  • 취약성 정보가 수신되었음을 확인

  • 조사를 위한 예정된 일정

  • 조직 내의 담당자 연락처는 이슈에 대한 정보를 조정하고 추적하는 역할을 함

  • 통지서에서 제공된 것처럼 보안 문제의 초기 조사를 완료할 것으로 예상되는 시기의 추정

수정 지원

유지자가 통지의 수령을 인정하면 Snyk은 보안 문제를 처리하는 방법을 결정하기 위해 유지자와 함께 입을 맞추어 10 영업일 내에 작업합니다. 이 단계에는 다음 작업이 포함됩니다:

  • Snyk은 유지자가 솔루션을 개발하는 데 도움이 될 수 있는 추가 정보를 제공합니다.

  • 유지자와 Snyk은 문제의 공개 공시 및 수정 시기를 조정합니다.

공개 공시

공개 공시 단계의 일환으로, Snyk은 다음을 수행합니다:

공개 공시는 수정 지원 단계를 완료하거나 이전 단계에서의 과정 실패를 통해 시작될 수 있습니다.

공개 공시 단계에서 Snyk 및 가능하면 유지자는 취약성 및 수정에 대한 정보를 공개에 전달합니다. Snyk은 취약성 정보를 공개 이메일 목록, 웹 페이지 또는 의도한 대상 군에 도달하기에 적절하다고 판단하는 기타 매체를 통해 전파할 수 있습니다.

Previous지역 호스팅 및 데이터 보관Next보안 문제 보고

Last updated