취약점 공개 정책 | OneSuite

OneSuite 시스템의 취약점을 보고하세요

소개

OneSuite에서는 정보 보안이 최우선 과제이며, 당사 시스템과 데이터의 기밀성, 무결성 및 가용성을 보호하기 위해 최선을 다하고 있습니다. 이 정책은 보안 연구자에게 취약점 연구 수행에 대한 명확한 지침을 제공하고 취약점을 당사에 책임감 있게 보고하는 방법을 설명합니다.

이 문서는 본 정책이 적용되는 시스템과 연구 유형, 취약점 보고서 제출 방법, 그리고 공개에 대해 당사가 제안하는 일정을 명시합니다.

당사는 보안 연구자들이 이 정책에 설명된 대로 취약점을 보고할 것을 권장합니다. 여러분의 노력은 잠재적 문제를 해결하고 OneSuite 생태계의 보안을 유지하는 데 도움이 됩니다.

인가

귀하가 이 정책을 성실하게 준수하려는 노력을 기울이는 경우, OneSuite는 귀하의 연구를 인가된 것으로 간주합니다. 당사는 귀하와 협력하여 문제를 신속하게 이해하고 해결하며, 귀하의 연구와 관련된 법적 조치를 권고하거나 추진하지 않을 것입니다.

제3자가 이 정책에 따라 수행된 활동에 대해 귀하에게 법적 조치를 개시하는 경우, OneSuite는 이 인가를 공개할 것입니다.

지침

이 정책에서 "연구"란 다음 활동을 의미합니다:

  • 실제 또는 잠재적 보안 문제를 발견한 후 가능한 한 빨리 당사에 통지합니다.
  • 정의된 범위 내에서만 분석을 수행합니다.
  • 개인정보 침해, 사용자 경험 저하, 프로덕션 시스템 중단, 데이터 파괴 또는 조작을 피합니다.
  • 취약점의 존재를 확인하는 데 필요한 범위에서만 익스플로잇을 사용합니다. 데이터를 침해하거나 유출하거나, 명령줄 접근 권한을 얻거나, 다른 시스템으로 피봇하기 위해 익스플로잇을 사용하지 마십시오.
  • 문제를 공개하기 전에 당사에 수정할 합리적인 시간을 제공합니다.
  • 품질이 낮은 보고서를 대량으로 제출하는 것을 피합니다.

취약점이 존재한다고 판단했거나 민감한 데이터(개인 데이터, 금융 데이터, 또는 당사자의 독점 정보나 영업 비밀 포함)를 발견한 경우, 테스트를 중단하고 즉시 당사에 통지하며 이 데이터를 다른 사람에게 공개하지 마십시오.

범위

이 정책은 다음 시스템 및 서비스에 적용됩니다:

  • *.onesuite.io

범위 외 문제

다음 문제는 이 정책의 범위 외로 간주됩니다:

  • OneSuite 고객 자산의 테스트.
  • 모델 환각.
  • 콘텐츠 모더레이션 또는 채용 문제.
  • 다른 통제로 완화되는 보안 관행(예: 누락된 보안 헤더).
  • 소셜 엔지니어링, 피싱 및 물리적 공격.
  • 누락된 쿠키 플래그, 영향이 낮은 CSRF(예: 로그인/로그아웃 CSRF), 콘텐츠 스푸핑 또는 스택 트레이스와 같은 문제.
  • 실증 가능한 보안 영향이 없는 취약점.
  • DOS/DDOS 공격.
  • 영향 없는 호스트 헤더 인젝션.
  • 스캐너 출력, 서버 오류 메시지(중요 정보를 노출하는 경우 제외).
  • 오래된 브라우저 또는 비중요 버그에 대한 보고서.

위의 "범위" 섹션에 명시적으로 나열되지 않은 모든 서비스(연결된 서비스 등)는 범위에서 제외되며 테스트가 인가되지 않습니다. 또한, 당사 벤더의 시스템에서 발견된 취약점은 이 정책의 범위 밖이며 해당 벤더의 공개 정책(가용한 경우)에 따라 벤더에 직접 보고해야 합니다. 시스템이 범위 내인지 확실하지 않은 경우, 연구를 시작하기 전에 [email protected]로 문의해 주십시오.

감사의 표시

OneSuite는 현재 금전적 보상을 제공하지 않지만, 귀하의 기여를 소중히 여깁니다. 감사의 표시로, 귀하가 익명을 원하지 않는 한 당사의 보안 공개 감사 페이지에서 귀하의 도움을 인정할 것입니다. 향후 금전적 보상을 가능하게 하는 버그 바운티 프로그램을 구현하기 위해 노력하고 있습니다.

취약점 보고

이 정책에 따라 제출된 정보는 방어 목적으로만 사용됩니다. 귀하의 발견이 더 넓은 사용자 커뮤니티에 영향을 미치는 취약점을 밝히는 경우, 당사는 귀하의 보고서를 Cybersecurity and Infrastructure Security Agency (CISA)와 공유할 수 있습니다. 귀하의 허가 없이 귀하의 이름이나 연락처 정보를 공개하지 않습니다.

제공해 주시면 좋은 정보

효과적인 분류와 우선순위 지정을 돕기 위해 다음 정보를 제공해 주십시오:

  • 취약점의 위치와 잠재적 영향.
  • 취약점을 재현하는 데 필요한 단계에 대한 상세한 설명(예: 개념 증명 스크립트, 스크린샷).
  • 영어로 작성된 보고서.

당사에서 기대할 수 있는 것

연락처 정보를 공유해 주시면, 당사는 다음을 약속합니다:

  • 14 영업일 이내에 보고서 수신 확인.
  • 취약점 존재 확인 및 가능한 지연을 포함한 수정 프로세스에 대한 정보.

OneSuite는 제출된 취약점에 대한 보상을 제공하지 않음을 유의하시기 바랍니다. 보고서를 제출함으로써 귀하는 보상에 대한 모든 청구를 포기합니다.

질문

이 정책에 관한 질문이나 제안은 [email protected]로 문의해 주십시오.

최종 업데이트: November 12, 2024