English: SECURITY.en.md

SBOM Generator는 소프트웨어 공급망 보안을 다루는 도구인 만큼, 도구 자체의 보안도 중요하게 여긴다. 취약점을 발견했다면 책임 있는 절차에 따라 알려 주기를 부탁한다.

보안 수정은 최신 릴리스를 기준으로 제공한다. Docker 이미지는 ghcr.io/sktelecom/sbom-generator:latest (이전 이름 별칭 sbom-scanner:latest) 태그가 최신 보안 패치를 반영한다.

오래된 버전을 쓰고 있다면 먼저 최신 릴리스로 올린 뒤 문제가 재현되는지 확인해 주기를 권한다.

취약점은 공개 이슈 트래커에 올리지 말고 아래 두 경로 중 하나로 비공개로 알려 주기 바란다.

이 저장소의 Security 탭에서 Report a vulnerability 를 눌러 비공개 보안 권고(advisory) 초안을 제출할 수 있다. 신고 내용은 유지보수자에게만 보이며, 수정과 공개 일정을 같은 자리에서 함께 다룰 수 있다.

opensource@sktelecom.com 으로 보내도 된다.

• 취약점 유형과 영향 범위
• 문제가 있는 파일 경로나 코드 위치
• 재현 단계 또는 개념 증명(PoC)
• 가능하다면 영향을 받는 버전과 환경(OS, Docker 버전)

신고를 받으면 다음 흐름으로 대응한다. 자원봉사 기반 프로젝트인 만큼 아래 기한은 목표치이며 상황에 따라 달라질 수 있다.

• 영업일 기준 3일 이내에 접수를 확인한다.
• 검토 후 취약점 여부와 심각도를 판단해 신고자에게 알린다.
• 수정이 필요하면 패치를 준비하고, 신고자와 공개 시점을 조율한다.
• 수정이 배포되면 보안 권고를 공개하고, 원하는 경우 신고자를 기여자로 표기한다.

비공개 신고 내용은 수정과 조율이 끝나기 전까지 외부에 공유하지 않는다.