일본 정부산하의 보안단체인 IPA 에서 JPCERT 와 함께 개발자를 위한 취약점 정보 발표 가이드라인을 내놓았습니다. 일본어 버전과 영어 버전을 함께 내놓았는데, 아무래도 저희 입장에선 영어가 더 편할 듯 하여 링크를 겁니다.
http://www.jpcert.or.jp/english/vh/2008/vuln_announce_manual_en.pdf
10 페이지의 짤막한 PDF 자료로, 자사 제품의 취약점 정보를 고객들에게 공개할 때 어떤 정보들을 포함시켜야야 하는가에 대한 기본 정보와 함께, 적절한 예와 부적절한 예를 비교 분석하여 독자의 이해를 돕고 있습니다. 각 예제에 대해선 왜 이것이 적절한지, 혹은 부적절한지에 대해 부연설명도 붙어 있기에 보안에 대해 잘모르는 개발자라 하더라도 손쉽게 이해할 수 있습니다.
미국의 NIST 문서나 일본의 IPA 문서들을 보면 최근의 문서 추세는 핵심 내용을 중심으로 간결하게 정리하는 쪽으로 방향을 잡고 있는 듯 합니다. 과거에 유행하던 장황하고, 최대한 완벽을 기해 설명하는 형태의 문서들은 찾아보기 어렵군요.
전문가가 아닌 일반인들도 손쉽게 이해할 수 있는 방향으로 나아가고 있어서 다행입니다.
이글루스 가든 - professional secur...
http://www.jpcert.or.jp/english/vh/2008/vuln_announce_manual_en.pdf
10 페이지의 짤막한 PDF 자료로, 자사 제품의 취약점 정보를 고객들에게 공개할 때 어떤 정보들을 포함시켜야야 하는가에 대한 기본 정보와 함께, 적절한 예와 부적절한 예를 비교 분석하여 독자의 이해를 돕고 있습니다. 각 예제에 대해선 왜 이것이 적절한지, 혹은 부적절한지에 대해 부연설명도 붙어 있기에 보안에 대해 잘모르는 개발자라 하더라도 손쉽게 이해할 수 있습니다.
미국의 NIST 문서나 일본의 IPA 문서들을 보면 최근의 문서 추세는 핵심 내용을 중심으로 간결하게 정리하는 쪽으로 방향을 잡고 있는 듯 합니다. 과거에 유행하던 장황하고, 최대한 완벽을 기해 설명하는 형태의 문서들은 찾아보기 어렵군요.
전문가가 아닌 일반인들도 손쉽게 이해할 수 있는 방향으로 나아가고 있어서 다행입니다.
이글루스 가든 - professional secur...
덧글
xeraph 2008/07/30 11:02 # 답글
ㅎㅎ 이거 번역해봐야겠네요