취약점 공개 정책

Alpacon은 플랫폼의 보안을 보장하고 사용자를 보호하기 위해 최선을 다하고 있습니다. 보안 취약점을 식별하고 해결하는 데 도움을 주는 보안 연구원과 사용자를 환영하고 감사합니다.

취약점 보고

보고 방법

Alpacon에서 보안 취약점을 발견했다고 생각되면 다음으로 보고해 주세요:

이메일: security@alpacax.com

포함할 내용

가능한 한 많은 정보를 제공해 주세요:

  1. 설명: 취약점에 대한 명확한 설명
  2. 영향: 잠재적인 보안 영향 및 심각도 평가
  3. 재현 단계: 문제를 재현하는 상세한 단계
  4. 개념 증명: 취약점을 보여주는 코드, 스크린샷 또는 비디오(해당되는 경우)
  5. 영향을 받는 구성 요소: Alpacon의 어느 부분이 영향을 받는지(웹 앱, 에이전트, API 등)
  6. 연락처 정보: 질문이 있을 경우 후속 조치를 위해
  7. 공개 일정: 선호하는 공개 일정

우리의 약속

응답 일정

  • 초기 응답: 보고서 수신 후 48시간 이내
  • 취약점 평가: 5 영업일 이내
  • 상태 업데이트: 조사 및 해결 프로세스 전반에 걸쳐 정기적인 업데이트
  • 해결: 심각도에 따라 일정이 다름(아래 참조)

심각도 기반 해결 일정

심각도설명목표 해결 시간
위급원격 코드 실행, 인증 우회, 데이터 침해7일
높음권한 상승, 중요한 데이터 노출30일
중간정보 공개, 서비스 거부60일
낮음경미한 보안 문제, 구성 문제90일

우리가 할 일

  1. 확인: 보고서를 신속하게 확인
  2. 조사: 보고된 취약점 조사
  3. 정보 제공: 진행 상황을 알림
  4. 수정: 확인된 취약점을 적시에 수정
  5. 크레딧: 발견에 대한 크레딧(원하는 경우)
  6. 통지: 필요 시 영향을 받은 사용자에게 통지

책임 있는 공개

공개 일정

다음을 요청합니다:

  1. 공개하기 전에 취약점을 조사하고 수정할 시간을 주세요
  2. 보안 팀과 공개 시기를 조율하세요
  3. 취약점을 보여주는 데 필요한 것 이상으로 악용하지 마세요
  4. 수정 사항이 출시될 때까지 취약점을 공개적으로 공개하지 마세요

표준 공개 일정:

  • 위급/높음: 초기 보고 후 90일
  • 중간/낮음: 초기 보고 후 120일
  • 협상 가능: 상황에 따라 일정 조정 가능

공개 공개

수정 사항이 출시된 후, 조율된 공개 공개를 지원합니다:

  • 보안 권고: 귀하를 크레딧하는 보안 권고 게시(원하는 경우)
  • CVE 할당: 적격 취약점에 대한 CVE ID 요청
  • 블로그 포스트: 중요한 취약점의 경우 상세한 블로그 포스트 게시
  • 귀하의 글: 공개 후 자신의 기술 글을 게시할 수 있습니다

범위

범위 내

다음은 취약점 공개 프로그램의 범위 내에 있습니다:

인프라 및 애플리케이션:

  • *.alpacon.io - 메인 애플리케이션 및 워크스페이스 도메인
  • auth.alpacon.io - 인증 서비스
  • Alpacon 웹 애플리케이션(브라우저 기반)
  • Alpacon CLI 도구
  • Alpamon 에이전트 소프트웨어
  • 공개 API 및 엔드포인트

취약점 유형:

  • 인증 및 권한 우회
  • 원격 코드 실행
  • SQL 인젝션, NoSQL 인젝션
  • 크로스 사이트 스크립팅(XSS)
  • 크로스 사이트 요청 위조(CSRF)
  • 서버 측 요청 위조(SSRF)
  • 안전하지 않은 직접 객체 참조(IDOR)
  • 보안 구성 오류
  • 민감한 데이터 노출
  • XML 외부 엔터티(XXE) 공격
  • 역직렬화 취약점
  • 보안 영향이 있는 비즈니스 로직 결함

범위 외

다음은 범위 외입니다:

제외된 도메인 및 자산:

  • 사용하는 제3자 서비스(AWS, Cloudflare 등)
  • 직원 이메일 계정
  • *.alpacax.com(별도 회사 도메인)
  • 아카이브되거나 더 이상 사용되지 않는 서비스

제외된 취약점 유형:

  • 서비스 거부(DoS/DDoS) 공격
  • Alpacon 직원에 대한 사회 공학 공격
  • Alpacon 사무실 또는 데이터 센터에 대한 물리적 공격
  • 스팸 또는 피싱 공격
  • 구식 브라우저 또는 플랫폼의 취약점
  • 사용자 기기에 물리적 접근이 필요한 문제
  • 제3자 애플리케이션 또는 라이브러리의 취약점(공급업체에 보고)

안전 항구

Alpacon은 보안 연구원과 협력하기 위해 최선을 다하며, 다음을 수행하는 연구원에 대해 법적 조치를 취하지 않습니다:

  1. 보안 취약점을 보고하기 위해 선의로 행동
  2. 프라이버시 침해, 데이터 파괴 및 서비스 중단을 피하기 위해 선의의 노력
  3. 취약점을 보여주는 데 필요한 것 이상으로 악용하지 않음
  4. 이 공개 정책을 따름

법적 보호:

  • 이 정책에 따라 수행된 취약점 연구에 대해 법적 조치를 취하지 않음
  • 선의의 보안 연구에 대해 법 집행 기관에 보고하지 않음
  • 제3자가 법적 조치를 시작한 경우, 귀하의 행동이 이 정책에 따라 수행되었음을 알리기 위한 조치를 취함

인정

명예의 전당

기여자를 인정하기 위해 보안 연구원 명예의 전당을 유지합니다:

  • 보안 페이지에 나열
  • 보안 권고에서 공개 인정
  • 소셜 미디어 인정(귀하의 허가 하에)
  • Alpacon 굿즈 및 상품

옵트아웃: 익명을 선호하는 경우 귀하의 의사를 존중합니다.

버그 바운티 프로그램

출시 예정: 금전적 보상이 있는 버그 바운티 프로그램을 출시할 계획입니다.

현재 상태: 현재 금전적 보상을 제공하지 않지만, 보안 연구를 깊이 감사하며 귀하의 기여를 인정할 것입니다.

향후 계획:

  • 심각도에 따른 금전적 보상
  • 플랫폼: HackerOne 또는 Bugcrowd
  • 예상 출시: 2026년

연락처 정보

보안 팀

비상 연락처

적극적으로 악용되고 있는 위급 취약점의 경우:

일반 보안 문의

취약점이 아닌 보안 질문의 경우:

추가 리소스

정책 업데이트

이 취약점 공개 정책은 수시로 업데이트될 수 있습니다. 중요한 변경 사항은 블로그 및 보안 메일링 리스트에 발표됩니다.

현재 버전: 1.0 최종 업데이트: 2025년 11월 다음 검토: 2026년 6월

Alpacon과 사용자를 안전하게 지켜주셔서 감사합니다!