취약점 공개 지침

버그캠프는 해커의 이익을 보호하기 위해 최선을 다하고 있습니다. 하지만 취약점 공개는 본질적으로 모호한 과정이기 때문에 연구원의 행동이 해당 가이드와 비슷할수록 연구원을 보호할 수 있습니다.

보안팀은 특정 서비스 또는 제품에 대한 취약점을 연구하는 방법을 설명하는 프로그램 정책을 게시해야합니다. 문제가 발생한 경우 해당 정책이 가이드라인을 대체하므로 프로그램 정책 작성 및 게시 전 항상 신중하게 검토해야 합니다.

취약점을 발견한 경우 버그캠프를 통해 적절한 프로그램에 보고서를 제출해 주세요. 보고서에는 상세한 취약점 내용과 명확하고 간결한 재현방법 또는 동작하는 개념증명이 포함되어야 합니다. 취약점을 자세히 설명하지 않으면 평가과정에 상당한 지연이 발생할 수 있으며, 이는 연구원 및 보안팀 모두에게 불리한 상황입니다.

보고서는 취약점이 검증되었을 때, 추가 정보가 필요할 때, 혹은 바운티를 받을 자격이 있는 경우등의 중요한 이벤트가 발생하는 경우 업데이트 됩니다.

보고서의 내용은 즉시 보안팀에게 제공되고, 초기에는 보안팀이 개선 조치를 발표할 충분한 시간을 확보하기 위해 비공개 상태로 유지됩니다. 보고서가 종료된 후에는 연구원 및 보안팀 모두가 취약점에 대한 정보를 공개를 요청할 수 있습니다.

* 기본: 양측에서 이의 제기가 없는 경우, 보고서의 내용은 30일 이내에 공개됩니다.

* 상호 합의: 연구원과 보안팀 구성원이 공개 시기에 대해 협의하도록 권장합니다. 양측이 합의하는 경우, 보고서의 내용은 상호 합의된 일정에 따라 공개됩니다.

* 보호된 공개: 보안 팀이 악용 사례나 임박한 공공 피해의 증거가 있는 경우, 사용자가 보호 조치를 취할 수 있도록 즉시 개선 세부 정보를 공개할 수 있습니다.

* 확장: 복잡성이나 기타 요인으로 인해 일부 취약점은 기본 설정된 30일보다 더 긴 시간이 필요할 수 있습니다. 이러한 경우에는 보고서가 비공개 상태로 유지되어 보안팀이 보안 문제에 대처할 충분한 시간을 확보할 수 있도록 합니다. 이러한 경우에는 연구원과 보안팀이 서로 소통을 유지하도록 권장합니다.

비공개 프로그램

일부 연구원은 비공개 프로그램에 초대받을 수 있습니다. 비공개 프로그램에 참혀하는것은 선택 사항이며, 기본적으로 공개하지 않습니다. 초대를 수락하기 전, 해커는 참여에 필요한 프로그램 정책 및 비공개 약관을 신중하게 검토해야 합니다. 공개를 원하는 연구원은 비공개 프로그램에 참여할 수 없습니다.

연구원이 발견한 취약점이 다음에 해당할 때 공개적 인정을 받을 수 있습니다.

1) 해당 취약점에 대해 처음으로 보고서를 제출한 경우

2) 취약점이 유효한 보안 문제로 확인된 경우

3) 이 가이드라인을 준수한 경우

* 보안팀

제품 또는 서비스에서 발견된 보안 문제를 처리하는 개인들로 구성된 팀입니다. 상황에 따라 이는 조직의 공식적인 보안팀, 오픈 소스 프로젝트의 자원 봉사자 그룹 또는 인터넷 버그 바운티와 같은 독립적인 자원 봉사자 패널 등이 될 수 있습니다.

* 연구원

해커라고도 알려진 사람들입니다. 학계 보안 연구자, 소프트웨어 엔지니어, 시스템 관리자, 그리고 일반적인 기술자들을 포함하여 기술과 관련된 잠재적인 보안 문제를 조사한 사람입니다.

* 보고서

특정 제품 또는 서비스에서 발견한 잠재적인 보안 취약점에 대한 연구원의 설명입니다. 보고서는 항상 해당 보안팀에게 비공개로 제출됩니다.

* 취약점

연구원이 명시된 보안정책을 위반하는 동작을 수행할 수 있게 하는 소프트웨어의 결함 또는 오류입니다. 권한상승, 정보누출은 취약점입니다. 설계결함 및 보안 모범 사례를 준수하지 않는 경우에도 취약점으로 간주될 수 있습니다. 바이러스, 악성코드 및 사회 공학적인 기법에 의해 악용되는 취약점은 보안팀이 프로그램 정책에서 언급하지 않는 한 취약점으로 간주되지 않습니다.

* 프로그램

보안팀은 특정 서비스 또는 제품에 대한 보안연구를 안내하는 프로그램과 프로그램 정책을 게시할 수 있습니다. 만약 프로그램이 비공개인 경우, 참여는 전적으로 연구원의 선택 사항이며 기본적으로 공개하지 않습니다.