보안 공개 정책

개요

Edovia에서는 보안이 최우선이며, 보안 연구원과 대중으로부터 취약성에 대한 책임감 있는 보고를 환영합니다. 당사 제품이나 서비스에서 보안 문제, 개인정보 보호 우려 사항 또는 노출된 데이터를 발견했다고 생각되면 당사와 공유해 주시기 바랍니다. 이 문서에서는 보안 문제를 보고하는 방법, 당사의 약속 및 기대 사항을 설명합니다.

범위

이 정책은 다음에 적용됩니다.

• Edovia 소프트웨어 및 제품
• Edovia에서 운영하는 서비스 및 인프라
• 당사 제품과 관련된 문서

제외 사항

다음 유형의 보고서는 이 정책의 범위를 벗어납니다.

• 물리적 보안 문제(예: 사무실 접근, 무단 침입)
• 소셜 엔지니어링 공격(예: 피싱, 사칭 시도)
• 범위 섹션에 명시적으로 나열되지 않은 시스템의 문제
• 미용적 문제(예: 보안에 영향을 미치지 않는 UI/UX 버그)
• 오타
• 서비스 거부(DoS/DDoS) 취약성
• Edovia에서 관리하지 않는 타사 서비스

범위를 벗어난 시스템에서 문제를 발견한 경우 해당 공급업체나 조직에 보고하는 것이 좋습니다.

당사에서 기대할 수 있는 것

선의로 유효한 보안 문제를 보고하면 당사는 다음을 수행합니다.

• 보고를 확인하고 가능한 한 빨리 평가를 시작합니다.
• 검토하는 동안 보고 상태를 알려줍니다.
• 심각도와 영향에 따라 보안 취약점을 해결하기 위해 노력합니다.
• 이 정책의 가이드라인에 따라 공개할 경우 안전 항구 보호를 제공합니다.

책임 있는 공개 가이드라인

책임 있고 효과적인 공개 프로세스를 보장하기 위해 다음을 요청드립니다.

• 보안 문제를 조사할 때 이 정책과 해당 조건을 따릅니다.
• 결과를 즉시 보고하고 서비스나 사용자를 방해할 수 있는 조치를 피합니다.
• 문제를 입증하는 데 필요한 것으로 테스트를 제한합니다.
• 공식 채널을 사용하여 보안 문제를 알립니다.
• 공개하기 전에 문제를 해결할 수 있도록 합리적인 시간을 줍니다.
• 범위 내의 시스템만 테스트하고 명시적으로 제외된 대상은 피합니다.
• 본인이 소유하거나 명시적으로 사용할 수 있는 권한이 있는 테스트 계정을 사용합니다.
• 강탈이나 보상 요구로 해석될 수 있는 모든 조치를 삼가합니다.

보안 문제 보고

다음을 보고하려면 보안 우려 사항이 있는 경우 다음 공식 채널을 사용하세요.

https://edovia.com/.well-known/security.txt

자세한 내용을 제공할수록 문제를 더 빨리 평가하고 해결할 수 있습니다.

세이프 하버

선의로 이 정책에 따라 보안 연구를 수행하는 경우 다음을 수행합니다.

• 해당 해킹 방지법에 따라 연구가 승인된 것으로 간주합니다.
• 의도치 않은 정책 위반에 대해 법적 조치를 취하지 않습니다.
• 테스트에 대해 우회 방지법을 시행하지 않습니다.
• 결과를 약관 위반이 아닌 보안 개선을 위한 노력으로 간주합니다.

제3자가 이 정책에 맞춰 연구를 수행한 것에 대해 법적 조치를 취하는 경우 귀하의 조치가 책임 있는 공개 원칙을 따랐음을 알립니다.

테스트가 이 정책과 일치하는지 확실하지 않은 경우 진행하기 전에 당사에 문의하세요.

참고: 세이프 하버는 Edovia의 통제 하에 있는 법적 청구에만 적용되며 독립적인 제3자에게는 적용되지 않습니다.

보상 프로그램

Edovia는 버그 바운티 또는 보상 프로그램에 참여하지 않습니다. 책임 있는 취약점 제보는 감사하지만, 현재 금전적 보상이나 기타 인센티브는 제공하지 않습니다.