소개

VulnCheck의 '취약점 보고' 기능은 취약점을 책임감 있게 공개하기 위해 VulnCheck에 보고하는 작업을 쉽게 만듭니다

VulnCheck는 취약점을 책임감 있게 공개할 수 있도록 보고하는 과정을 가능한 한 간단하게 만들기 위해 최선을 다하고 있습니다.

취약점 보고

VulnCheck에서는 다음 주소에서 취약점을 간편하게 보고할 수 있습니다: https://vulncheck.com/advisories/report

다국어 지원

VulnCheck의 취약점 보고 서비스는 추가 언어 지원 요청을 다수 받았습니다. 이에 따라 현재 취약점 보고 서비스는 영어, Nederlands(네덜란드어), Русский(러시아어), 简体中文(간체중국어), 繁體中文(번체중국어), 한국어(한국어), 및 فارسی(페르시아어/파르시)를 지원합니다. 향후 추가 언어 지원을 확장할 계획입니다.

왜 VulnCheck에 취약점을 보고해야 할까요?

VulnCheck은 연구원들과 직접 협력하여 취약점 공개를 조율하고 영향을 받는 공급업체와의 소통을 관리합니다. 이를 통해 연구원들은 취약점 공개 절차를 처리하는 데 드는 시간과 노력을 최소화하면서 취약점이 책임감 있고 일관성 있게 처리되도록 보장받을 수 있습니다. 또한 이 모든 과정에서 연구원에게 정당한 공로가 인정되도록 합니다.

VulnCheck의 취약점 보고 서비스는 어떻게 작동하나요?

취약점 관련 기술 정보를 VulnCheck에 제출해 주세요. 특정 형식은 요구하지 않으며, 초기 질문을 최소화하기 위해 노력합니다. 다만, 자세한 기술 정보를 제공해 주시면 문제 검증 및 처리 과정을 더욱 효율적으로 진행할 수 있습니다.

제출 후 VulnCheck에서 공개 절차를 진행하며, 모든 단계에서 진행 상황을 알려드립니다. 다음 방법을 통해 보고서를 제출하실 수 있습니다. 웹 포털 이메일: disclosures@vulncheck.com

보안 취약점을 신고할 때 어떤 정보가 필요한가요?

제출 자료는 알려지지 않은 취약점에 대한 공개적인 언급부터 재현 단계 및 개념 증명을 포함한 전체 기술 보고서까지 다양할 수 있습니다. 최소한 CVE 레코드를 작성하거나 공급업체와의 협력을 시작하는 데 필요한 충분한 정보를 제공해 주시기 바랍니다.

웹 양식을 사용할 경우 다음 정보를 제공해야 합니다.

  • 공급업체 이름
  • 제품 이름
  • 영향을 받는 버전 및 테스트된 버전
  • 취약점 세부 정보: 문제에 대한 명확한 설명, 영향, 악용 방법(가능한 경우 재현 단계 및 개념 증명 포함)
  • VulnCheck에서 귀하를 대신하여 정보 공개를 조율해 주기를 원하는지 여부
  • 이전에 MITRE에 CVE를 요청했지만 응답을 받지 못했는지 여부
  • 해당 취약점이 이미 공개적으로 알려졌는지 여부(해당하는 경우 관련 자료 포함)
  • 조정된 공개 날짜에 또는 그 이후에 연구 결과를 발표할 계획인지 여부

다음은 접수부터 공급업체 연락까지 신속하게 진행할 수 있도록 구성된 포괄적인 CVD 제출 양식의 예시입니다.

VulnCheck에서 어떤 일정으로 진행될 것으로 예상해야 할까요?

분석 담당자가 영업일 기준 1일 이내에 연락을 드릴 것입니다.

  • 공개적으로 알려진 문제 또는 이미 협의된 사례에 대한 CVE 할당은 대개 몇 시간 내에 이루어집니다.
  • 협력적인 정보 공개의 경우, VulnCheck는 최초 보고부터 공개까지 평균 약 48일이 소요되며, 이는 당사의 120일 정보 공개 정책 범위 내에 있습니다.

VulnCheck에서 CVE를 할당할 예정인가요?

네. 적절한 협의를 거쳐 VulnCheck은 상황 및 소유권에 따라 직접 CVE를 발행하거나 가장 적합한 CVE 번호 지정 기관과 협력하여 CVE를 발행할 것입니다.

만약 제 취약점이 이미 공개되어 있고 CVE ID만 필요한 경우라면 어떻게 해야 하나요?

VulnCheck은 CVE 번호 지정 기관으로서 CVE ID를 직접 발급하거나 필요에 따라 할당을 조정할 수 있습니다.

VulnCheck는 버그 현상금 지급 프로그램을 제공하나요?

아니요. VulnCheck는 취약점 제보에 대해 금전적인 보상을 제공하지 않습니다.

VulnCheck이 취약점 정보를 공개하지 않는 경우가 있습니까?

VulnCheck이 취약점 공개 조정을 거부하는 경우는 다음과 같은 제한적인 상황에 한정됩니다.

  • CVE 자격 미달
    • 저희는 CVE 자격 여부를 판단하는 데 도움을 드릴 수 있지만, CVE 할당 자격이 없는 문제에 대해서는 공개 조정을 진행하지 않습니다.
  • 문제 재현 불가
    • VulnCheck과 공급업체 모두 합리적인 시도 후에도 취약점을 검증할 수 없는 경우, 해당 사례는 종결될 수 있습니다.
  • 엠바고 위반
    • 연구원이 합의된 엠바고를 위반하는 경우, VulnCheck은 향후 공개 조정을 거부할 수 있습니다.
  • 비윤리적이거나 승인되지 않은 취약점 발견
    • 승인 없이 운영 시스템에 대한 테스트를 통해 발견된 취약점은 공개 조정을 진행하지 않습니다.

VulnCheck의 '취약점 보고' 서비스는 법적 구속력이 있습니까?

아니요. 이 서비스는 법적 권한을 가지고 있지 않습니다. 저희는 취약점 공개 정책을 준수합니다. 참여자들은 협력적인 공개 과정에서 상호 합의된 공개 금지 기간을 존중해야 합니다. 연구자는 언제든지 공개 금지 기간을 어길 수 있지만, VulnCheck는 그러한 경우 향후 서비스 제공을 거부할 권리가 있습니다.

FAQ

오픈 소스