오픈 소스 패키지의 취약점 공개
이 페이지에서 설명하는 프로그램을 통해 Snyk은 오픈 소스 패키지의 잠재적인 취약점을 보고받도록 커뮤니티를 장려하여 보안을 강화하기 위한 신속한 식별, 확인 및 개선을 용이하게 합니다.
Snyk은 보안 커뮤니티를 소중히 여기며 오픈 소스 패키지의 보안 취약점을 책임 있게 공개함으로써 사용자들의 보안과 개인 정보 보호를 보장할 수 있다고 믿습니다. Snyk은 오픈 소스 코드 내에서 발견된 보안 문제를 보고할 수 있는 보고 프로그램을 제공하는 것을 목표로 삼고 있습니다.
Snyk의 책임 있는 공개 프로그램은 유지자와 보고자 모두를 보호하고, 공개 전에 이러한 취약점을 발견한 연구원들에게 공개 전에 발생 가능한 이득을 안전하게 제공하고, 그 연구원들에게 노력에 대해 인정을 해줍니다.
Snyk의 취약점 공개 프로그램
Snyk 취약점 공개 프로그램의 주요 단계는 다음과 같습니다:
어떠한 연구원 또는 개발자든지 세부 정보를 포함하여 오픈 소스 보안 취약점에 대한 보고서를 제출할 수 있습니다.
Snyk 보안 팀은 보고서의 주장과 관련 위험의 심각성을 확인합니다. 자세한 내용은 중요도 평가 및 확인를 참조하십시오.
Snyk은 다양한 채널을 통해 영향을 받는 프로젝트의 소유자나 유지자에게 연락합니다. 자세한 내용은 패키지 유지자에 대한 통보를 참조하십시오.
Snyk은 취약성 세부 정보를 전달하고 잠재적인 수정 사항에 대해 조언하며, 유지자와 함께 공개 공시 일정을 협업합니다. 자세한 내용은 수정 지원를 참조하십시오.
Snyk은 연구원에게 충분한 공과를 부여하면서 취약성을 공개합니다. 자세한 내용은 공개 공시를 참조하십시오.
Snyk은 공식적으로 인정된 CVE 중앙 네이밍 권한 (CNA)로서 취약점에 CVE를 할당합니다.
Snyk에 취약점 보고하기
연구원은 취약점 보고서를 최소한 다음 세부 정보를 포함하여 [email protected]로 직접 제출하거나 Snyk 취약점 공개 양식을 사용하여 제출할 수 있습니다: https://snyk.io/vulnerability-disclosure/. 제출된 취약점 보고서는 다음을 최소한으로 포함해야 합니다:
영향 받는 모듈
관련 패키지 관리자 및 생태계
취약성 세부 정보
재현 방법
보고서를 받은 후 Snyk은 유지자에게 통보하기 전에 각 보고된 취약성을 확인하고 문서화합니다.
Snyk에 이메일로 보고된 취약점 공개는 다음 PGP 키를 사용하여 암호화할 수도 있습니다:
중요도 평가 및 확인
보고된 취약점 보고서를 확인한 후, 분석가는 보고서에 첨부된 연락처를 사용하여 보고자에게 연락하여 보고서를 수신한 사실을 인정하고, 할당된 취약성 세부 정보 및 심각성에 대해 논의합니다.
제출된 취약점이 이미 공개된 경우이고 Snyk 취약점 데이터베이스에 누락된 경우, Snyk에서 확인한 후에 이 취약점이 데이터베이스에 추가되어 게시됩니다.
패키지 유지자에 대한 통보
제출된 취약점이 성공적으로 확인된 후, Snyk은 패키지의 유지자에게 내부 해결 프로세스를 시작할 수 있는 취약성 세부 정보를 제공하기 위해 연락합니다.
Snyk은 취약한 패키지의 유지자가 공개 전에 수정이 가능하도록 90일의 책임 있는 공개 및 수정 시한을 준수합니다. 유지자의 요청에 따라 연장이 제공되며, 공개된 취약점의 심각성에 따라 Snyk은 패치가 제공될 때까지 공개 공개를 기다릴 의향이 있습니다.
30일 후
초기 통보 이메일을 받은 후 유지자가 30 영업일 이내에 답장이나 확인을 하지 않을 경우, Snyk은 취약성 세부 정보를 해당 패키지의 초기 연락 지점 및 최소한 하나의 공개적으로 이용 가능한 보조 연락처에 재전송합니다.
40일 후
두 번째 통지 이후 유지자로부터 응답이 없는 경우 (총 40 영업일), 공개 공시 전에 패치가 가능하도록 취약성 세부 정보가 해당 패키지의 초기 연락점 및 최소한 하나의 공개적으로 이용 가능한 보조 연락처에 재전송됩니다.
50일 후
패키지 유지 관리자가 원래 통지 후 50 영업일(세 번째 통지 이후 10 영업일 추가) 내에 세 번의 통지 시도 중 어느 것에도 응답하지 않거나 유지자가 공개 공개를 조정하고 싶지 않다고 나타내는 경우, Snyk은 더 이상의 협력 없이 공개 공시를 발표할 수 있습니다.
수령 확인
유지자는 다음 세부 정보와 함께 통지 수령을 인정해야 합니다:
취약성 정보가 수신되었음을 확인
조사를 위한 예정된 일정
조직 내의 담당자 연락처는 이슈에 대한 정보를 조정하고 추적하는 역할을 함
통지서에서 제공된 것처럼 보안 문제의 초기 조사를 완료할 것으로 예상되는 시기의 추정
수정 지원
유지자가 통지의 수령을 인정하면 Snyk은 보안 문제를 처리하는 방법을 결정하기 위해 유지자와 함께 입을 맞추어 10 영업일 내에 작업합니다. 이 단계에는 다음 작업이 포함됩니다:
Snyk은 유지자가 솔루션을 개발하는 데 도움이 될 수 있는 추가 정보를 제공합니다.
유지자와 Snyk은 문제의 공개 공시 및 수정 시기를 조정합니다.
공개 공시
공개 공시 단계의 일환으로, Snyk은 다음을 수행합니다:
공개 추적을 위해 공통 취약점 및 노출(CVE) ID 할당
취약점을 공개적인 취약점 데이터베이스에 추가, 취약점과 관련된 내용 및 관련 수정에 대한 정보를 제공
공개 공시는 수정 지원 단계를 완료하거나 이전 단계에서의 과정 실패를 통해 시작될 수 있습니다.
공개 공시 단계에서 Snyk 및 가능하면 유지자는 취약성 및 수정에 대한 정보를 공개에 전달합니다. Snyk은 취약성 정보를 공개 이메일 목록, 웹 페이지 또는 의도한 대상 군에 도달하기에 적절하다고 판단하는 기타 매체를 통해 전파할 수 있습니다.
Last updated