2008년 07월 30일
개발자를 위한 취약점 정보 발표 가이드라인
일본 정부산하의 보안단체인 IPA 에서 JPCERT 와 함께 개발자를 위한 취약점 정보 발표 가이드라인을 내놓았습니다. 일본어 버전과 영어 버전을 함께 내놓았는데, 아무래도 저희 입장에선 영어가 더 편할 듯 하여 링크를 겁니다.
http://www.jpcert.or.jp/english/vh/2008/vuln_announce_manual_en.pdf
10 페이지의 짤막한 PDF 자료로, 자사 제품의 취약점 정보를 고객들에게 공개할 때 어떤 정보들을 포함시켜야야 하는가에 대한 기본 정보와 함께, 적절한 예와 부적절한 예를 비교 분석하여 독자의 이해를 돕고 있습니다. 각 예제에 대해선 왜 이것이 적절한지, 혹은 부적절한지에 대해 부연설명도 붙어 있기에 보안에 대해 잘모르는 개발자라 하더라도 손쉽게 이해할 수 있습니다.
미국의 NIST 문서나 일본의 IPA 문서들을 보면 최근의 문서 추세는 핵심 내용을 중심으로 간결하게 정리하는 쪽으로 방향을 잡고 있는 듯 합니다. 과거에 유행하던 장황하고, 최대한 완벽을 기해 설명하는 형태의 문서들은 찾아보기 어렵군요.
전문가가 아닌 일반인들도 손쉽게 이해할 수 있는 방향으로 나아가고 있어서 다행입니다.
이글루스 가든 - professional secur...
http://www.jpcert.or.jp/english/vh/2008/vuln_announce_manual_en.pdf
10 페이지의 짤막한 PDF 자료로, 자사 제품의 취약점 정보를 고객들에게 공개할 때 어떤 정보들을 포함시켜야야 하는가에 대한 기본 정보와 함께, 적절한 예와 부적절한 예를 비교 분석하여 독자의 이해를 돕고 있습니다. 각 예제에 대해선 왜 이것이 적절한지, 혹은 부적절한지에 대해 부연설명도 붙어 있기에 보안에 대해 잘모르는 개발자라 하더라도 손쉽게 이해할 수 있습니다.
미국의 NIST 문서나 일본의 IPA 문서들을 보면 최근의 문서 추세는 핵심 내용을 중심으로 간결하게 정리하는 쪽으로 방향을 잡고 있는 듯 합니다. 과거에 유행하던 장황하고, 최대한 완벽을 기해 설명하는 형태의 문서들은 찾아보기 어렵군요.
전문가가 아닌 일반인들도 손쉽게 이해할 수 있는 방향으로 나아가고 있어서 다행입니다.
이글루스 가든 - professional secur...
# by | 2008/07/30 02:21 | 보안 정보 | 트랙백(1) | 핑백(2) | 덧글(1)
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
제목 : 개발자를 위한 취약점 공개 가이드라인
헐랭이 님께서 알려주신 JPCERT 발간 자료를 번역해봤습니다. 기술문서 자료실에 올라가있습니다. 국내 개발자들은 거의 이런 절차를 몰라서 취약점 대응 능력이 해외에 비해 많이 부족한 상태인데요. 이 자료가 많은 도움이 되었으면 합니다. 번역은 8con이 했습니다. 개발자를 위한 취약점 공개 가이드라인...more
... 예전에 말씀드린 일본의 '개발자를 위한 취약점 정보 발표 가이드라인'을 Nchovy Storm Center 에서 한글로 번역해주셨습니다. 앞으로 대한민국의 보안 발전에 큰 기여가 될 것 입니다. 번역하느라 수고하신 8con 님 ... more
... 헐랭이 님께서 알려주신 취약점 공개 가이드라인 문서를 번역해봤습니다. 기술문서 자료실에 올라가있습니다. 국내 개발자들은 거의 이런 절차를 몰라서 취약점 대응 능력이 해외에 ... more