XETOWN

분수 광장

특정주제 없이 자유로운 이야기를 나눌 수 있습니다.
조회 수 138 추천 수 0 댓글 4
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
Extra Form

https://www.xpressengine.com/security_bounty_program

 

XE 신규 보안취약점 신고 포상제 시행 안내라는 글에 따르면, 그동안 KISA를 통해 연락을 취해왔었던 터라 긴밀한 연락이 어려워, 해당 신고자가 공헌자로서 이름을 알리지 못해왔고 이러한 점과 동시에 지속적으로 보안 취약점을 개선해나갈 수 있도록 하기 위해 포상제를 실시한다고 하네요.

접수 대상 취약점과 신고 방법은 위 링크를 참고하시면 됩니다.

  • profile
    기진곰 2016.09.30 17:46:51

    신고 양식을 보면 아래로 내려갈수록 조건이 상당히 까다로워요. 소스 제출에 대한 가산점도 있고... 무슨 경시대회를 보는 것 같네요 ㅎㅎ 설마 앞으로는 XE 공모전을 보안취약점 신고 포상으로 대체하는 걸까요?

     

    정보통신망법 위반에 대한 경고는 좀 오버한 것 같습니다. 물론 보안 취약점을 확인한답시고 공홈을 마비시켜 버리거나 해서는 안 되겠지만, 해당되는 범위가 분명하지 않아서 신고를 꺼리게 만들 수도 있으니까요. 구글이나 페이스북의 보안취약점 신고 포상 제도를 봐도, 자신과 지인들의 계정을 사용해서 실제 서비스를 대상으로 테스트했다고 페널티를 주거나 고소하는 일은 없습니다. 실제 서비스에 장애를 줄 수도 있는 심각한 취약점일수록 더 빨리 신고하도록 유도하고, 포상도 크게 해야 하지 않을까요?

     

    패치된 버전 발표 후에도 무려 120일간 비밀유지 서약... 정말? XE 개발팀이 패치를 빨리 안 해 주면 무덤까지 비밀로 가져가야 하는 건가요? 보안취약점 연구도 유행을 타기 때문에, 한 사람이 발견한 취약점은 다른 사람도 비슷한 시기에 발견할 가능성이 은근히 높아요. 그래서 너무 기다리면 오히려 더 많은 사람을 위험에 빠뜨리는 결과를 낳습니다. 외국에서는 신고 후 30~60일간 패치되지 않으면 신고자가 먼저 취약점과 패치 방법을 공개해 버려도 정당한 행동이라고 인정하는 것이 보통입니다.

     

    뭐 그래도 국내에서는 거의 처음 시행하는 제도이니, 조심스럽게 시작하는 것도 이해는 되네요. 운영해 보면서 부족한 점이 있으면 개선해 나가시기를 기대해 봅니다.

  • profile
    포커스 2016.09.30 18:10:48
    그렇군요. 헛점이 있네요..
  • profile
    YJSoft 2016.10.01 10:16:56
  • profile
    기진곰 2016.10.01 10:22:58
    아, 템플릿이 있었군요. KISA에서 만든 거라면 이해가 되네요 ㅎㅎ

List of Articles
번호 분류 제목 글쓴이 날짜 조회 수
화제의 글 자유 엑스이타운에 파티가 열렸어요 64 제이엔지 2016.11.30 241
화제의 글 자유 닉네임이 사라졌는데 71 제이엔지 2016.11.28 316
화제의 글 자유 XE3 사이트가 개편되었네요. 17 creative 2016.11.19 414
3924 자유 오늘 국군의 날 행사입니다 설분들 도로 교통 숙지 하시길. 2 언션 2016.10.01 53
3923 자유 요즘 사이트들은 FULL SSL로 사용하는게 유행인가봐요? 5 후하니 2016.09.30 181
3922 자유 NCS 라고 아시나요? 5 람보 2016.09.30 147
» 자유 XE 보안 취약점 신고 포상제가 실시되었네요. 4 포커스 2016.09.30 138
3920 자유 사이트 속도 자랑 4 file socialskyo 2016.09.30 172
3919 자유 윈도우10 업데이트 그후 20 file 제이엔지 2016.09.30 166
3918 자유 XE 코어 구조를 UML로 정리하는게 의미가 있을까요? 4 갸라 2016.09.30 63
3917 자유 서버 이전 완료 했어요 - 갓기진곰님 23 socialskyo 2016.09.30 170
3916 자유 클플 상위플랜 사용을 권유받으신 분은 제보해 주세요. 5 기진곰 2016.09.30 150
3915 자유 클라우드 플레어가 트래픽을 KIX로 빼고있는듯한 느낌.. 13 AliceTaylor 2016.09.30 126
3914 이슈/토론 [사용자 인식 조사] 누구나 무료로 자료를 다운받아서 사용할 수 있지만, 기술지원은 유료라면 어떨까요? 3 SimpleCode 2016.09.29 108
3913 자유 윈도우10 업데이트할때 조심하세요 16 file 제이엔지 2016.09.29 203
3912 자유 컴퓨터 지식인 만드려고 하는데 3 낙타 2016.09.29 72
3911 자유 큭 결국 질렀다;;; 4 file BlackTeddyBear 2016.09.29 121
3910 자유 컴맹이라 이거 좀 알려주시면 감사하겠네요! 2 솔파도 2016.09.29 56
3909 자유 구글 애드센스는 해외 배너도 많이 노출되네요.. 7 메비우스의닭 2016.09.29 67
3908 자유 Vultr 의 dedicated cloud 의 CPU 클럭은 3GHZ가 넘는군요 3 고라자 2016.09.29 101
3907 자유 계속 체크해보는데, 확실히 웹폰트는 생각보다 로딩속도에 미치는 영향이 적네요 10 기븐 2016.09.28 104
3906 자유 전기요금 얼마 나왔나요? 22 file 제이엔지 2016.09.28 143
3905 자유 클라우드플레어를 제거 했더니 속도가 빨라지네요 확실히.. 10 낙타 2016.09.28 159
Board Pagination Prev 1 ... 16 17 18 19 20 21 22 23 24 25 ... 217 Next
/ 217
위로
서버에 요청 중입니다. 잠시만 기다려 주십시오...