비공개로 보고된 보안 취약성 관리

비공개 취약성 보고가 활성화됨으로 설정된 리포지토리의 경우, 리포지토리 유지 관리자는 보안 연구원이 비공개로 보고한 보안 취약성을 관리할 수 있습니다.

누가 이 기능을 사용할 수 있나요?

리포지토리 소유자, 조직 소유자, 보안 관리자 및 관리자 역할이 있는 사용자

이 문서의 내용

퍼블릭 리포지토리의 소유자 및 관리자는 해당 리포지토리에서 프라이빗 취약성 보고를 사용하도록 설정할 수 있습니다. 자세한 내용은 리포지토리에 대한 비공개 취약성 보고 구성을(를) 참조하세요.

보안 취약성 비공개 보고에 대해

비공개 취약성 보고를 사용하면 보안 연구원이 간단한 양식을 통해 취약성을 사용자에게 직접 보고하기가 쉬워집니다.

보안 연구원이 취약성을 비공개로 보고하면 알림을 받으며, 이를 수락하거나, 추가 질문을 하거나, 거부하도록 선택할 수 있습니다. 보고서를 수락하면 보안 연구원과 함께 비공개로 취약성 수정 작업을 협업할 준비가 됩니다.

비공개로 보고된 보안 취약성 관리

프라이빗 취약성 보고가 활성화된 리포지토리에서 새 취약성이 비공개로 보고되면 GitHub는 리포지토리 유지 관리자 및 보안 관리자에게 다음과 같은 경우 알림을 제공합니다.

  • 모든 활동에 대해 리포지토리를 보고 있습니다.
  • 리포지토리에 대해 알림이 활성화되어 있습니다.

알림 기본 설정 구성에 대한 자세한 내용은 리포지토리에 대한 비공개 취약성 보고 구성을(를) 참조하세요.

  1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름에서 Security를 클릭합니다. "Security" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음, Security를 클릭합니다.

    탭을 보여 주는 리포지토리 헤더의 스크린샷. "보안" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 왼쪽 사이드바의 "Reporting"에서 Advisories를 클릭합니다.

  4. 검토하려는 권고를 클릭하세요. 비공개로 보고된 권고의 상태는 Triage입니다.

    "보안 권고" 목록의 스크린샷.

  5. 보고서를 주의 깊게 검토한 다음, 진행 방법을 선택하세요.

    • 비공개로 패치를 협업하려면 임시 프라이빗 포크 시작을 클릭하여 기여자와의 추가 논의를 위한 공간을 만드세요. 이렇게 해도 제안된 권고의 상태는 Triage에서 변경되지 않습니다.

    • 보고된 취약성을 수락하려면 수락하고 초안으로 열기를 클릭하여 GitHub에서 취약성 보고서를 초안 권고로 수락하세요. 이 옵션을 선택하는 경우:

      • 이렇게 해도 보고서가 공개되지 않습니다.
      • 보고서는 리포지토리 보안 권고의 초안이 되며, 사용자가 만드는 다른 초안 권고와 동일한 방식으로 작업할 수 있습니다. 보안 권고에 대한 자세한 내용은 리포지토리 보안 공지 정보을(를) 참조하세요.

    • 추가 정보를 요청하거나 보고자와의 토론을 시작하려면 권고에 주석을 달 수 있습니다. 모든 주석은 권고의 보고자와 공동 작업자에게만 표시됩니다.

    • 보고자가 설명한 문제가 보안 위험이 아니라는 것을 판단하기에 충분한 정보가 있는 경우 보안 권고 닫기를 클릭하세요. 가능한 경우 권고를 닫기 전에 보고서를 보안 위험으로 간주하지 않는 이유를 설명하는 주석을 추가해야 합니다.

      외부에서 제출된 취약성 보고서를 검토할 때 리포지토리 유지 관리자에게 제공되는 옵션을 보여주는 스크린샷.