취약성 보고
Atlassian의 취약성 정의를 충족하는 보안 문제를 발견했다고 생각하는 경우 아래의 방법 중 하나를 통해 보안 팀에 보고서를 제출해 주세요.
Atlassian은 자동 스캐너에 의해 생성된 대량 보고서에 대응할 수 없습니다. 자동 스캐너를 사용하여 문제를 식별하는 경우 Atlassian에 취약성 보고서를 제출하기 전에 보안 실무자가 문제를 검토하고 결과가 유효한지 확인하는 것이 좋습니다.
고객인 경우:
- 지원 팀에 티켓 제출
보안 연구원인 경우:
- 버그 바운티 프로그램을 통해 보고서 제출, 또는
- 이메일 security@atlassian.com을 통해 보고서 제출
버그 바운티 프로그램을 통해 제출된 취약성만 포상금을 지급받을 수 있습니다.
보고서에 다음과 같은 정보를 포함하세요.
- 문제의 유형(Cross-site Scripting, SQL Injection, 원격 코드 실행 등)
- 버그가 있는 제품 및 버전 또는 URL(클라우드 서비스인 경우)
- 취약성의 잠재적인 영향(즉, 어떤 데이터를 액세스 또는 수정할 수 있음)
- 문제를 재현하는 단계별 지침
- 재현하는 데 필요한 개념 증명 또는 악용 코드
PGP 키를 사용하여 제출 내용을 암호화하려면 여기에서 키를 다운로드하세요.
취약성의 정의
Atlassian은 보안 취약성을 공격자가 제품 또는 인프라의 기밀성, 무결성 또는 가용성에 영향을 미칠 수 있도록 하는 제품 및 인프라의 약점으로 간주합니다.
다음과 같은 유형의 결과는 보안 취약성으로 간주하지 않습니다.
- HTTP 헤더가 있거나 없음(X-Frame-Options, CSP, nosniff 등). 이것은 보안 모범 사례로 간주되므로 취약성으로 분류하지 않습니다.
- 중요하지 않은 쿠키에서 보안 관련 특성이 누락됨. Atlassian은 애플리케이션에서 사용되는 쿠키에 특정한 보안 관련 특성을 설정할 수 있습니다. 중요하지 않은 쿠키에 이러한 헤더가 없는 경우 이것은 보안 취약성으로 간주되지 않습니다.
- 스택 추적이 노출됨. 스택 추적 그 자체는 보안 문제로 간주하지 않습니다. 스택 추적에 개인 식별 정보나 사용자 생성 콘텐츠가 자세히 나와 있다면 해당 문제를 자세히 설명하는 보고서를 제출해 주세요.
- 관리자가 콘텐츠를 스푸핑. Atlassian은 관리자가 사용자 지정 기능으로 제품의 특정 영역에 HTML을 삽입할 수 있도록 허용하므로 해당 기능을 취약성으로 간주하지 않습니다.
- 자동 완성을 사용 또는 사용 중지
일반 공개
Atlassian의 가치 중에는 '열린 회사. 헛소리는 하지 않는다.'가 있으며 취약성 공개는 그 가치의 일부라고 생각합니다. Atlassian은 여기에 있는 보안 버그 수정 서비스 수준 목표를 고수하고 있으며 문제가 해결되어 프로덕션 단계에서 릴리스된 후 버그 바운티 프로그램을 통해 이루어지는 공개 요청을 수락합니다. 하지만 보고서에 고객 인스턴스 또는 데이터에 관한 정보가 포함되어 있으면 요청이 거부됩니다. 합리적인 방식으로 Atlassian에 고지하고 관련 SLO가 통과될 때까지 기다려 주세요. Atlassian은 이메일을 통한 제출에는 보상을 제공하지 않는다는 점을 참고하세요. Atlassian의 버그 바운티 프로그램에 대한 자세한 내용은 여기에서 확인하세요.
안전한 항구
이 정책에 따라 취약성 연구를 수행할 때 Atlassian은 이 연구에 대해 다음과 같이 고려합니다.
- 연구는 컴퓨터 사기 및 악용금지법(Computer Fraud and Abuse Act, CFAA) 및/또는 유사한 주법에 따라 승인되며 조사 대상이 우발적이고 선의로 이 정책을 위반한 경우 Atlassian은 법적 조치를 취하거나 지원하지 않습니다.
- 연구는 디지털 밀레니엄 저작권법(Digital Millennium Copyright Act, DMCA)에서 면제되며 Atlassian은 기술 제어 우회를 이유로 소송을 제기하지 않습니다.
- 연구는 보안 연구 수행을 저해하는 Atlassian의 약관에 따른 제약 사항에서 면제되며 Atlassian은 이 정책에 따라 수행된 작업에 대해 제한적으로 제약 사항을 면제합니다.
- 연구는 합법적이고 인터넷의 전체 보안에 도움이 되고 선의로 수행됩니다.
사용자는 항상 모든 관련 법률을 준수해야 합니다.
우려 사항이 있거나 보안 연구가 이 정책과 일치하는지 확실하지 않은 경우 언제든지 security@atlassian.com으로 문의해 주세요. 최선을 다해 도와드리겠습니다.
버그 바운티 프로그램
Atlassian의 파트너인 Bugcrowd를 통해 제품에 대한 공개 버그 바운티 프로그램을 운영하고 있습니다. 보안 연구원은 바운티 프로그램을 통해 Atlassian에 적격의 취약성 보고서를 제출하여 그 대가로 현금을 지급받을 수 있습니다.
일반 공개
Atlassian은 보안 버그 수정 정책에 명시된 기간 안에 제품의 보안 취약성을 해결하는 것을 중요하게 생각하고 있습니다. Atlassian은 고객을 보호하기 위해 취약성 공개를 동기화하며 취약성을 보고하는 보안 연구원도 이를 따를 것을 요청합니다.