보안 정책¶
링크 및 최신 내용
이 문서는 레포지터리 자료를 그대로 가져와 서빙합니다. 링크가 깨질 수 있습니다.
링크는 레포지터리에서 정상 작동합니다. 정확한 내용은 https://github.com/onprem-hipster-timer/backend에서 확인하세요.
Security Policy¶
Reporting a Vulnerability¶
Do NOT report security vulnerabilities through public GitHub issues.
If you discover a security vulnerability, please report it privately:
How to Report¶
- Email: Send details to jjh4450git@gmail.com
- GitHub Security Advisory: Use the Security Advisory feature (preferred)
What to Include¶
- Type of vulnerability (e.g., SQL injection, authentication bypass, XSS)
- Affected component (file path, endpoint, function)
- Steps to reproduce
- Potential impact
- Suggested fix (if any)
Response Timeline¶
| Stage | Timeline |
|---|---|
| Initial Response | Within 48 hours |
| Triage & Assessment | Within 1 week |
| Fix Development | Depends on severity |
| Disclosure | After fix is released |
What to Expect¶
- Acknowledgment: We'll confirm receipt of your report
- Communication: We'll keep you informed of our progress
- Credit: We'll credit you in the security advisory (unless you prefer anonymity)
- No Retaliation: We will not take legal action against good-faith security researchers
Supported Versions¶
| Version | Supported |
|---|---|
| Latest release | Yes |
| Previous release | Security fixes only |
| Older versions | No |
Security Best Practices¶
When deploying Hipster Timer Backend:
Production Checklist¶
- [ ] Set
ENVIRONMENT=production(disables debug mode and API docs) - [ ] Configure proper
OIDC_ISSUER_URLandOIDC_AUDIENCE - [ ] Set strong
ORIGIN_VERIFY_SECRETif using proxy - [ ] Configure
CORS_ALLOWED_ORIGINSexplicitly (not*) - [ ] Enable rate limiting (
RATE_LIMIT_ENABLED=true) - [ ] Use PostgreSQL with proper credentials
- [ ] Run behind HTTPS-terminating proxy
- [ ] Keep dependencies updated
Authentication¶
- Always enable OIDC in production (
OIDC_ENABLED=true) - Use short-lived access tokens
- Validate
audclaim matches your client ID
Database¶
- Never expose database port to public internet
- Use strong, unique passwords
- Enable connection encryption (SSL/TLS)
보안 정책¶
취약점 신고¶
보안 취약점을 공개 GitHub 이슈로 신고하지 마세요.
보안 취약점을 발견하면, 비공개로 신고해 주세요:
신고 방법¶
- 이메일: jjh4450git@gmail.com으로 세부 사항 전송
- GitHub Security Advisory: Security Advisory 기능 사용 (권장)
포함할 내용¶
- 취약점 유형 (예: SQL 인젝션, 인증 우회, XSS)
- 영향받는 컴포넌트 (파일 경로, 엔드포인트, 함수)
- 재현 단계
- 잠재적 영향
- 제안하는 수정 방법 (있다면)
응답 타임라인¶
| 단계 | 타임라인 |
|---|---|
| 초기 응답 | 48시간 이내 |
| 분류 및 평가 | 1주일 이내 |
| 수정 개발 | 심각도에 따라 |
| 공개 | 수정 릴리스 후 |
기대할 수 있는 것¶
- 확인: 신고 접수 확인
- 소통: 진행 상황 공유
- 크레딧: 보안 공지에 기여자로 표시 (익명 희망 시 제외)
- 보복 없음: 선의의 보안 연구자에 대해 법적 조치를 취하지 않습니다
지원 버전¶
| 버전 | 지원 |
|---|---|
| 최신 릴리스 | 예 |
| 이전 릴리스 | 보안 수정만 |
| 더 오래된 버전 | 아니오 |
보안 모범 사례¶
Hipster Timer Backend 배포 시:
프로덕션 체크리스트¶
- [ ]
ENVIRONMENT=production설정 (디버그 모드 및 API 문서 비활성화) - [ ] 적절한
OIDC_ISSUER_URL및OIDC_AUDIENCE설정 - [ ] 프록시 사용 시 강력한
ORIGIN_VERIFY_SECRET설정 - [ ]
CORS_ALLOWED_ORIGINS명시적 설정 (*사용 금지) - [ ] Rate limiting 활성화 (
RATE_LIMIT_ENABLED=true) - [ ] 적절한 자격 증명으로 PostgreSQL 사용
- [ ] HTTPS 종료 프록시 뒤에서 실행
- [ ] 의존성 최신 상태 유지
인증¶
- 프로덕션에서 항상 OIDC 활성화 (
OIDC_ENABLED=true) - 짧은 수명의 액세스 토큰 사용
aud클레임이 클라이언트 ID와 일치하는지 검증
데이터베이스¶
- 데이터베이스 포트를 공개 인터넷에 노출하지 않음
- 강력하고 고유한 비밀번호 사용
- 연결 암호화 활성화 (SSL/TLS)
Thank you for helping keep Hipster Timer Backend secure.