26 lines
943 B
Markdown
26 lines
943 B
Markdown
# Security Response
|
|
|
|
이 문서는 보안 이슈 제보를 받았을 때의 기본 대응 방식을 설명합니다.
|
|
|
|
## Contact
|
|
|
|
- 보안 제보: [ian@physia.kr](mailto:ian@physia.kr)
|
|
- 운영 연계: [contact@physia.kr](mailto:contact@physia.kr)
|
|
|
|
공개 이슈에는 취약점 세부 내용을 남기지 않는 것을 권장합니다.
|
|
|
|
## Response Targets
|
|
|
|
| Step | Target |
|
|
|---|---|
|
|
| Receipt acknowledgement | 영업일 기준 3일 이내 |
|
|
| Initial triage | 영업일 기준 5일 이내 |
|
|
| Severity update | 재현 여부 확인 후 가능한 한 빠르게 |
|
|
| Fix or mitigation guidance | 심각도와 재현 범위에 따라 별도 판단 |
|
|
|
|
## Severity Guide
|
|
|
|
- `Critical`: 계정 탈취, 원격 실행, 대규모 데이터 노출
|
|
- `High`: 인증 우회, 장기 세션 탈취, 권한 상승, 릴리즈 변조
|
|
- `Medium`: 제한적 정보 노출, 우회 가능한 보호장치
|
|
- `Low`: 설명 부족, 완화 가능한 설정 실수
|