보안
이 페이지는 취약점 보고 및 공개 절차를 포함한 AIMO 표준의 보안 정책을 문서화합니다.
범위
범위 내
- 검증기 참조 구현 (
validator/) - 빌드 및 릴리스 도구 (
tooling/) - JSON 스키마 (
schemas/) - 문서 웹사이트 인프라
범위 외
- 사양 내용 (규범적 텍스트는 보안 산출물이 아님)
- AIMO 표준을 사용하는 채택자 구현
- 외부 종속성 (업스트림 메인테이너에게 보고)
지원 버전
| 버전 | 지원 |
|---|---|
| latest (dev) | 예 |
| 태그된 릴리스 (vX.Y.Z) | 예 (최신 2개 마이너 버전) |
| 이전 릴리스 | 아니요 (업그레이드 권장) |
취약점 보고
보안 취약점에 대해 공개 GitHub 이슈를 열지 마세요.
프로세스
- GitHub의 비공개 취약점 보고를 통해 비공개로 보고
- 포함 사항: 설명, 재현 단계, 영향 받는 버전, 영향
- 평가 및 수정 개발을 위한 시간 허용
일정
| 단계 | 일정 |
|---|---|
| 확인 | 72시간 |
| 초기 평가 | 7일 |
| 조정된 공개 | 최대 90일 |
공개 정책
- 취약점은 비공개로 보고됩니다
- 수정이 공개 공개 전에 개발됩니다
- 수정이 가능한 후 보안 권고가 게시됩니다
- 보고자는 크레딧을 받습니다 (익명 요청 제외)
보안 조치
- 모든 변경에 대한 CI/CD 검사
- SHA-256 체크섬이 있는 서명된 릴리스
- 병합 전 필수 PR 검토
전체 정책
전체 보안 정책은 SECURITY.md를 참조하세요.