보안 취약성 비공개 보고

일부 퍼블릭 리포지토리에서는 보안 취약성을 관리자에게 비공개로 직접 보고할 수 있도록 보안 공지 기능을 설정하고 있습니다.

누가 이 기능을 사용할 수 있나요?

Anyone can privately report a security vulnerability to repository maintainers.

퍼블릭 리포지토리의 소유자 및 관리자는 해당 리포지토리에서 프라이빗 취약성 보고를 사용하도록 설정할 수 있습니다. 자세한 내용은 리포지토리에 대한 비공개 취약성 보고 구성을(를) 참조하세요.

참고 항목

  • 공용 리포지토리에 대한 관리자 또는 보안 권한이 있는 경우 취약성 보고서를 제출할 필요가 없습니다. 대신 보안 권고 초안을 직접 만듭니다. 리포지토리 보안 공지 만들기을(를) 참조하세요.
  • 프라이빗 취약성 보고는 리포지토리의 파일과는 별개입니다 SECURITY.md . 이 기능이 사용하도록 설정된 리포지토리에 대해서만 취약성을 비공개로 보고할 수 있으며, 다음 지침을 SECURITY.md따를 필요가 없습니다.

퍼블릭 리포지토리에 프라이빗 취약성 보고가 사용하도록 설정된 경우 누구나 프라이빗 취약성 보고서를 리포지토리 유지 관리자에게 제출할 수 있습니다. 퍼블릭 리포지토리의 전반적인 보안 상태를 평가하고, 보안 정책을 제안할 수도 있습니다. 리포지토리의 보안 및 설정 평가을(를) 참조하세요.

리포지토리에 프라이빗 취약성 보고를 사용하도록 설정하지 않은 경우 리포지토리에 대한 보안 정책의 지침에 따라 또는 기본 설정 보안 연락처를 유지 관리자에게 요청하는 문제를 만들어 보고 프로세스를 시작해야 합니다. 보안 취약성의 조정된 공개 정보을(를) 참조하세요.

  1. GitHub에서 리포지토리의 기본 페이지로 이동합니다.

  2. 리포지토리 이름에서 Security를 클릭합니다. "Security" 탭이 표시되지 않으면 드롭다운 메뉴를 선택한 다음, Security를 클릭합니다.

    탭을 보여 주는 리포지토리 헤더의 스크린샷. "보안" 탭이 진한 주황색 윤곽선으로 강조 표시됩니다.

  3. 취약성 보고를 클릭하여 권고 양식을 엽니다.

  4. 권고 세부 정보 양식을 작성합니다.

    이 양식에서는 제목과 설명만 필수입니다. (리포지토리 유지 관리자가 시작하는 일반 초안 보안 권고 양식에서는 에코시스템도 지정해야 합니다.) 그러나 보안 연구원은 양식에 가능한 한 많은 정보를 제공하여 유지 관리자 제출된 보고서에 대해 정보에 입각한 결정을 내릴 수 있도록 하는 것이 좋습니다. github/securitylab리포지토리에서 사용할 수 있는 GitHub Security Lab에서 보안 연구원이 사용하는 템플릿을 채택할 수 있습니다.

    사용 가능한 필드 및 양식 작성에 대한 지침에 대한 자세한 내용은 리포지토리 보안 공지 만들기리포지토리 보안 권고 작성 모범 사례을(를) 참조하세요.

  5. 양식 아래쪽에서 보고서 제출을 클릭합니다. GitHub은(는) 유지 관리자에게 알림을 받았으며 이 보안 권고에 대해 보류 중인 크레딧이 있음을 알리는 메시지를 표시합니다.

    보고서가 제출되면 GitHub은 취약성의 보고자를 공동 작업자로, 그리고 제안된 권고에 대해 크레딧을 받은 사용자로 자동으로 추가합니다.

  6. 필요에 따라 이슈 해결을 시작하려면 임시 프라이빗 포크 시작을 클릭합니다. 리포지토리 유지 관리자는 해당 프라이빗 포크의 변경 내용을 부모 리포지토리로 병합할 수 있습니다.

    보안 권고 아래쪽의 스크린샷 "임시 포크 시작"이라는 레이블이 지정된 단추가 진한 주황색 윤곽선으로 표시됩니다.

다음 단계는 리포지토리 유지 관리자가 어떤 작업을 수행했는지에 따라 달라집니다. 비공개로 보고된 보안 취약성 관리을(를) 참조하세요.