취약점 공시: 협력을 통한 시스템 보안 확보
Cloudera 보안 대응 팀은 고객과 커뮤니티가 Cloudera 제품의 보안 취약점을 제보하고 관련 정보를 전달할 수 있도록 단일 연락 창구를 제공합니다. Cloudera의 엔지니어링 및 지원 부서뿐만 아니라 외부 Apache 커뮤니티와도 협력하여 모든 Cloudera 제품의 보안 취약점을 식별, 수정 및 전달합니다.
취약점 제보 방법
Cloudera는 고객과 커뮤니티가 보안 취약점을 공개 포럼에 게시하기 전에 자사 보안 대응 팀에 먼저 제보해 주실 것을 강력히 권장합니다.
현재 Cloudera 고객이 아닌 경우, 보안 취약점을 security@cloudera.com 으로 제보해 주세요.
- Cloudera 고객인 경우, 지원 포털을 통해 지원 요청을 등록해 주세요. 이때 사용 중인 소프트웨어와 실행 중인 하드웨어의 버전에 대한 세부 정보를 반드시 포함해 주세요. www.cloudera.com 또는 관련 웹사이트에서 취약점을 발견한 경우, 해당 취약점을 재현할 수 있는 사이트/페이지의 전체 URL을 함께 기재해 주세요.
다음과 같은 유형의 취약점에 대해서는 제보를 삼가주세요.
자동 스캐너가 탐지하는 일반적인 낮은 심각도의 보안 이슈
보안 헤더 누락(예: HSTS, CSP, SPF, DMARC)
쿠키에 보안 플래그 미설정
SSL 관련 이슈(취약한 암호화 알고리즘/짧은 키 길이)
인증되지 않은 폼 또는 보안에 영향을 미치지 않는 폼에 대한 CSRF(Cross-Site Request Forgery)
클릭재킹
자동 스캐너가 탐지하는 기타 낮은 심각도의 보안 이슈
요청 속도 제한(단, 중대한 보안 위험이 아닌 경우에 한함)
사용자의 기기에 대한 MITM 또는 물리적 접근이 필요한 공격
작동하는 개념 증명(PoC)이 없는 기존의 취약한 라이브러리
오래되었거나 패치가 적용되지 않은 브라우저의 사용자에게만 영향을 미치는 취약점[최신 출시된 안정 버전보다 2개 미만의 뒤처짐]
소프트웨어 버전 노출 / 배너 식별 문제
Cloudera에 보고서를 안전하게 제출하려면 아래의 GPG 키를 사용하세요.
키 핑거프린트
GPG 공개 키 블록
아래 키를 복사하여 붙여 넣어 주세요.
버그 바운티 정책
Cloudera는 현재 자사 제품 또는 웹사이트의 취약점에 대해 버그 바운티 프로그램을 운영하고 있지 않습니다.