3e779be6f3
CI / lint (push) Failing after 13m4s
CI / test (3.11, ubuntu-latest) (push) Failing after 2m4s
CI / test (3.13, ubuntu-latest) (push) Successful in 13m30s
CI / test (3.14, ubuntu-latest) (push) Successful in 17m21s
CI / test (3.12, ubuntu-latest) (push) Successful in 17m55s
CI / discover-apps-ps (push) Successful in 1m56s
CI / test (3.9, ubuntu-latest) (push) Successful in 13m17s
CI / test (3.10, ubuntu-latest) (push) Successful in 26m21s
CI / audit (push) Successful in 13m38s
Deploy site / deploy (push) Has been cancelled
CI / test (3.14, ubuntu-24.04-arm) (push) Has been cancelled
73 lines
2.8 KiB
Markdown
73 lines
2.8 KiB
Markdown
# 보안 정책
|
|
|
|
[English](../SECURITY.md) | **한국어**
|
|
|
|
## 지원 버전
|
|
|
|
| 버전 | 지원 여부 |
|
|
|------|----------|
|
|
| 최신 | 예 |
|
|
|
|
## 취약점 보고
|
|
|
|
보안 취약점은 GitHub Security Advisories를 통해 보고해 주세요:
|
|
|
|
**[취약점 보고하기](https://github.com/kernalix7/winpodx/security/advisories/new)**
|
|
|
|
**보안 취약점에 대해 공개 이슈를 열지 마세요.**
|
|
|
|
### 포함해야 할 내용
|
|
|
|
- **설명**: 취약점에 대한 명확한 설명
|
|
- **재현 단계**: 문제를 재현하기 위한 상세한 단계
|
|
- **영향**: 취약점의 잠재적 영향
|
|
- **영향받는 구성 요소**: 영향받는 모듈 또는 파일
|
|
- **환경**:
|
|
- 운영 체제 및 버전
|
|
- Python 버전
|
|
- FreeRDP 버전
|
|
- 데스크톱 환경
|
|
- 디스플레이 서버 (X11/Wayland)
|
|
|
|
## 대응 일정
|
|
|
|
| 단계 | 기간 |
|
|
|------|------|
|
|
| 확인 | 48시간 이내 |
|
|
| 평가 | 7일 이내 |
|
|
| 수정 | 30일 이내 |
|
|
|
|
## 범위
|
|
|
|
다음 영역은 보안 보고의 범위에 포함됩니다:
|
|
|
|
- **서브프로세스 호출의 명령어 주입**: 셸 명령어에 전달되는 검증되지 않은 입력
|
|
- **설정 파일의 자격 증명 노출**: 평문으로 저장된 비밀번호 또는 비밀 정보
|
|
- **RDP 세션 하이재킹**: 활성 RDP 세션에 대한 무단 접근
|
|
- **UNC 변환의 경로 탐색**: Windows/Linux 경로 변환 조작
|
|
- **백엔드 관리를 통한 권한 상승**: 컨테이너 또는 VM 백엔드를 통한 무단 권한 획득
|
|
|
|
## 범위 외
|
|
|
|
다음은 범위 밖으로 간주됩니다:
|
|
|
|
- 물리적 접근이 필요한 공격
|
|
- 소셜 엔지니어링 공격
|
|
- 서드파티 의존성의 취약점 (해당 업스트림 프로젝트에 보고해 주세요)
|
|
|
|
## 보안 모범 사례
|
|
|
|
이 프로젝트는 다음 보안 관행을 따릅니다:
|
|
|
|
- **서브프로세스 인자에 대한 입력 검증**: 서브프로세스 호출에 전달되는 모든 인자는 검증 및 정제됩니다
|
|
- **평문 비밀번호보다 askpass 우선**: 비밀번호를 평문으로 저장하는 대신 대화형 비밀번호 프롬프트(askpass)를 사용합니다
|
|
- **XDG 준수 파일 권한**: 설정 파일은 적절한 파일 권한과 함께 XDG Base Directory 사양을 따릅니다
|
|
- **코드나 git에 비밀 정보 없음**: 비밀 정보, 자격 증명, API 키는 저장소에 절대 커밋하지 않습니다
|
|
- **TLS 전용 RDP**: SecurityLayer=2 (TLS) RDP 채널 암호화 적용; NLA는 127.0.0.1 바인딩 환경에서만 비활성화
|
|
- **Windows 빌드 고정**: 레지스트리 정책으로 Feature update 차단; 보안 업데이트는 정상 설치
|
|
- **컨테이너 격리 RDP**: RDP 포트는 127.0.0.1에만 바인딩, 네트워크에 노출되지 않음
|
|
|
|
## 기여 인정
|
|
|
|
책임감 있는 공개에 감사드리며, 보고자를 릴리스 노트에 표기합니다 (익명을 원하는 경우 제외).
|