XETOWN

분수 광장

특정한 주제 없이 자유로운 이야기를 나눌 수 있습니다.
조회 수 152 추천 수 0 댓글 4
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
Extra Form

https://www.xpressengine.com/security_bounty_program

 

XE 신규 보안취약점 신고 포상제 시행 안내라는 글에 따르면, 그동안 KISA를 통해 연락을 취해왔었던 터라 긴밀한 연락이 어려워, 해당 신고자가 공헌자로서 이름을 알리지 못해왔고 이러한 점과 동시에 지속적으로 보안 취약점을 개선해나갈 수 있도록 하기 위해 포상제를 실시한다고 하네요.

접수 대상 취약점과 신고 방법은 위 링크를 참고하시면 됩니다.

  • profile
    기진곰 2016.09.30 17:46:51

    신고 양식을 보면 아래로 내려갈수록 조건이 상당히 까다로워요. 소스 제출에 대한 가산점도 있고... 무슨 경시대회를 보는 것 같네요 ㅎㅎ 설마 앞으로는 XE 공모전을 보안취약점 신고 포상으로 대체하는 걸까요?

     

    정보통신망법 위반에 대한 경고는 좀 오버한 것 같습니다. 물론 보안 취약점을 확인한답시고 공홈을 마비시켜 버리거나 해서는 안 되겠지만, 해당되는 범위가 분명하지 않아서 신고를 꺼리게 만들 수도 있으니까요. 구글이나 페이스북의 보안취약점 신고 포상 제도를 봐도, 자신과 지인들의 계정을 사용해서 실제 서비스를 대상으로 테스트했다고 페널티를 주거나 고소하는 일은 없습니다. 실제 서비스에 장애를 줄 수도 있는 심각한 취약점일수록 더 빨리 신고하도록 유도하고, 포상도 크게 해야 하지 않을까요?

     

    패치된 버전 발표 후에도 무려 120일간 비밀유지 서약... 정말? XE 개발팀이 패치를 빨리 안 해 주면 무덤까지 비밀로 가져가야 하는 건가요? 보안취약점 연구도 유행을 타기 때문에, 한 사람이 발견한 취약점은 다른 사람도 비슷한 시기에 발견할 가능성이 은근히 높아요. 그래서 너무 기다리면 오히려 더 많은 사람을 위험에 빠뜨리는 결과를 낳습니다. 외국에서는 신고 후 30~60일간 패치되지 않으면 신고자가 먼저 취약점과 패치 방법을 공개해 버려도 정당한 행동이라고 인정하는 것이 보통입니다.

     

    뭐 그래도 국내에서는 거의 처음 시행하는 제도이니, 조심스럽게 시작하는 것도 이해는 되네요. 운영해 보면서 부족한 점이 있으면 개선해 나가시기를 기대해 봅니다.

  • profile
    포커스 2016.09.30 18:10:48
    그렇군요. 헛점이 있네요..
  • profile
    YJSoft 2016.10.01 10:16:56
  • profile
    기진곰 2016.10.01 10:22:58
    아, 템플릿이 있었군요. KISA에서 만든 거라면 이해가 되네요 ㅎㅎ

List of Articles
번호 분류 제목 글쓴이 날짜 조회 수
화제의 글 자유 출석부 관련 비밀을 풀어드릴께요 7 file 더딘하루 2017.05.17 208
화제의 글 자유 난리가 났네요 16 제이엔지 2017.05.15 385
3883 자유 개천절 5 file 기진곰 2016.10.03 74
3882 자유 극극극 저소음 본체 17 충쌤 2016.10.03 168
3881 자유 supercache 삭제후 문제점 7 루딩 2016.10.03 168
3880 자유 아직도 이런분이 계시네요;; 11 file BlackTeddyBear 2016.10.03 227
3879 자유 저만그런가요? 5 BlackTeddyBear 2016.10.02 134
3878 자유 바이러스 프로그램 26 file 제이엔지 2016.10.02 259
3877 자유 업데이트때문에 컴터 날아가는줄 ㅠㅠ 7 오징 2016.10.01 112
3876 자유 오늘 국군의 날 행사입니다 설분들 도로 교통 숙지 하시길. 2 언션 2016.10.01 54
3875 자유 요즘 사이트들은 FULL SSL로 사용하는게 유행인가봐요? 5 후하니 2016.09.30 235
3874 자유 NCS 라고 아시나요? 5 람보 2016.09.30 169
» 자유 XE 보안 취약점 신고 포상제가 실시되었네요. 4 포커스 2016.09.30 152
3872 자유 사이트 속도 자랑 4 file socialskyo 2016.09.30 196
3871 자유 윈도우10 업데이트 그후 20 file 제이엔지 2016.09.30 189
3870 자유 XE 코어 구조를 UML로 정리하는게 의미가 있을까요? 4 갸라 2016.09.30 65
3869 자유 서버 이전 완료 했어요 - 갓기진곰님 23 socialskyo 2016.09.30 204
3868 자유 클플 상위플랜 사용을 권유받으신 분은 제보해 주세요. 6 기진곰 2016.09.30 179
3867 자유 클라우드 플레어가 트래픽을 KIX로 빼고있는듯한 느낌.. 13 AliceTaylor 2016.09.30 149
3866 자유 윈도우10 업데이트할때 조심하세요 16 file 제이엔지 2016.09.29 600
3865 자유 컴퓨터 지식인 만드려고 하는데 3 낙타 2016.09.29 76
3864 자유 큭 결국 질렀다;;; 4 file BlackTeddyBear 2016.09.29 125
Board Pagination Prev 1 ... 65 66 67 68 69 70 71 72 73 74 ... 264 Next
/ 264
위로
서버에 요청 중입니다. 잠시만 기다려 주십시오...