Close

외부 보안 테스트에 대한 Atlassian의 접근 방식


보안 테스트 허브에 오신 것을 환영합니다. Atlassian에서 제품 및 소중한 고객의 안전 및 보호를 보장하기 위해 시행하는 보안 테스트 이니셔티브에 대한 포괄적인 정보를 제공합니다.

특정 항목을 찾고 있습니까? 아래 링크 중 하나를 사용해 검색을 빠르게 추적하거나 계속 읽어 Atlassian의 외부 보안 테스트 프로그램에 대해 심층적으로 알아보세요.

Atlassian은 제품의 외부 보안을 보장하기 위해 다각적인 접근법을 취합니다. 크라우드소싱 버그 바운티를 활용한 상시 테스트 모델을 운영하고 있으며 외부 보안 컨설팅 업체 및 내부 보안 테스트 팀이 정기적으로 수행하는 화이트 박스 침투 테스트로 보완합니다.

Atlassian의 철학 및 접근 방식

Atlassian은 Atlassian의 가치로 잘 알려져 있으며 그 가치는 보안 테스트에 대한 접근 방식을 포함하여 Atlassian이 하는 모든 업무에 실질적으로 영향을 미칩니다. 실제로 Atlassian의 가치는 Atlassian이 다음과 같은 철학과 접근 방식을 갖게 만들었습니다.

  • 버그는 개발 프로세스에서 피할 수 없는 부분입니다. 중요한 부분은 버그가 있느냐가 아니라 얼마나 빠르고 효과적으로 버그를 찾아서 해결하는가입니다. 그렇다고 버그가 마음에 든다거나 버그의 빈도 및 심각도를 줄이는 방법을 끊임없이 혁신하지 않다는 뜻은 아닙니다. 하지만 거부는 소프트웨어 버그에 대한 실용적인 접근 방식이 될 수 없습니다.
  • Atlassian은 업계 표준을 지원하고 사용합니다. 용어 및 접근 방식을 표준화하면 Atlassian은 모든 것을 다룰 수 있으며 고객은 Atlassian이 하는 일과 이유를 이해할 수 있습니다. 예를 들어 CVSS(일반 취약성 점수 시스템)를 사용하는 표준 취약성 등급을 통해 Atlassian과 고객은 특정 취약성의 심각도를 명확하게 알 수 있습니다. 또한 Atlassian은 ISO 27001CSA(Cloud Security Alliance)에서 설명한 취약성 관리 프로세스를 따릅니다.
  • 타사 보안 연구원 및 침투 테스터는 Atlassian 팀을 확장하는 중요한 구성원입니다. Atlassian 제품에 취약성이 있는 경우 가능한 한 빠르게 찾아서 해결하는 것이 Atlassian과 모든 고객에게 도움이 됩니다.
    • Atlassian은 독립적인 타사 침투 테스터를 고용하여 매년 제품의 보안 취약성을 찾아내고 고도로 전문화된 기술이 필요한 작업에 대해서는 내부 보안 팀을 보조합니다.
    • Atlassian은 버그 바운티 프로그램의 현금 보상을 통해 외부 연구원에게도 제품 취약성을 찾을 동기를 부여합니다. 외부 보안 연구원의 협력으로 기존의 접근 방식을 훨씬 넘어서는 범위까지 팀을 확장할 수 있습니다!
  • Atlassian은 보안 테스트 프로그램을 투명하게 공개하고 있으며 평가서(LoA)에서 제품 침투 테스트 및 아래 버그 바운티 프로그램을 통해 발견된 버그에 대한 통계를 제공하고 있습니다.

지속적인 보안 확신

침투 테스트

Atlassian은 전문 보안 서비스 기업을 통해 제품 및 기타 시스템에 대한 침투 테스트를 수행합니다. 이 외에도 내부 보안 테스트 팀이 타사 컨설턴트와 협력하여 우선 순위가 높은 프로젝트(예: 새 제품 기능-Confluence 화이트보드), 새 인프라 설정(예: Atlassian FedRAMP 환경), 아키텍처 변경(예: 새 Forge 런타임)에 대한 기술 보안을 보장합니다.

이 경우 Atlassian의 침투 테스트 접근 방식은 표적에 집중되어 있습니다. 그러한 테스트는 다음과 같습니다.

  • 화이트 박스 - 제품 엔지니어는 테스터에게 테스트를 지원하는 설계 문서와 브리핑을 제공하며 테스터는 참여 중에 궁금한 점이 있으면 제품 엔지니어에게 연락하여 테스트를 지원받을 수 있습니다.
  • 코드 지원 - 테스터가 관련 코드 베이스에 완전히 액세스할 수 있으므로 테스트 도중 예기치 않은 시스템 동작을 진단하고 잠재적인 대상을 식별할 수 있습니다.
  • 위협 기반 - 테스트는 손상된 인스턴스가 존재한다고 가정하거나 시작 지점에서의 측면 이동을 테스트하는 경우와 같은 특정 위협 시나리오에 초점을 맞춥니다.
  • 방법론 중심 - 테스터들은 OWASP(Open Web Application Security Project)와 같은 업계에서 인정받은 방법론을 기반으로 구축된 다양한 맞춤형 화이트 박스 테스트 플레이를 사용합니다. Atlassian은 테스트를 통해 인프라 및 기술에 고유한 위협을 설명할 수 있습니다.

Atlassian은 이 페이지의 하단에 외부에서 사용할 수 있는 침투 테스트 파트너의 LoA(평가서)를 게시합니다. 이 평가를 수행할 때는 테스터에게 광범위한 내부 정보를 제공하므로 전체 보고서는 제공하지 않습니다. 대다수의 시스템과 제품은 공개 버그 바운티 프로그램에 포함되므로 지속적인 외부 확신을 제공합니다. 이 평가에서 찾은 사항은 Atlassian의 공개 보안 취약성 SLO에 따라 선별 및 수정됩니다.

버그 바운티

버그 바운티 프로그램Bugcrowd가 호스팅합니다. 이 프로그램은 보안 취약성을 찾아내기 위해 제품을 지속적으로 테스트합니다.

Atlassian은 버그 바운티 프로그램에 참여하고 있는 독립적인 보안 연구원들이 다음과 같은 이유로 효과적인 외부 보안 테스트 프로세스에 기여한다고 생각합니다.

  • 버그 바운티는 항상 이용할 수 있습니다. 릴리스가 잦은 매우 민첩한 개발 환경에는 지속적인 테스트가 필요합니다.
  • 버그 바운티에는 60,000명 이상의 잠재적인 연구원이 있어 연구원이 기술적 보증을 수행할 수 있도록 높은 총체적 능력을 발휘할 수 있습니다.
  • 버그 바운티 연구원들은 수직적(특정 버그 유형) 및 수평적(특정 바운티)으로 전문화된 도구와 프로세스를 개발합니다. 전문화를 통해 모호하지만 중요한 취약성을 식별할 가능성을 최대화할 수 있습니다.

Server 제품, 모바일 앱, Cloud 제품에 걸친 25개 이상의 제품 또는 환경이 버그 바운티 프로그램에 해당합니다. 보고된 취약성 수, 평균 응답 시간, 평균 포상금 금액에 대한 세부 정보가 모두 Bugcrowd 사이트에 포함되어 있으며 2,800명 이상의 연구원이 Atlassian 프로그램을 지정하여 등록되어 있습니다.

버그 바운티 프로그램을 통해 식별하려는 취약성으로는 OWASP(Open Web Application Security Project)WASC(Web Application Security Consortium) 위협 목록에 캡처된 일반적인 유형 등이 있습니다.

Atlassian은 개방성 및 투명성 유지에 대한 이니셔티브의 일환으로, 누구나 Atlassian의 버그 바운티 프로그램 페이지를 방문해 프로그램에 등록하고 테스트할 수 있도록 허용합니다.

Marketplace 앱

Marketplace 앱은 취약성 공개 프로그램 및 Atlassian 빌드 앱 버그 바운티 프로그램과 같이 Atlassian에서 주최하는 별도의 버그 바운티 프로그램에 적용됩니다.

고객이 시작한 테스트

Atlassian은 Cloud 제품에 대한 이용약관 에 따라 고객 시작 테스팅을 허용합니다. Atlassian은 열린 기업이 되기 위해 노력하고 있으며 계속해서 버그 바운티 프로그램 통계를 정기적으로 게시할 것입니다.

Atlassian 제품 및 서비스의 보안을 평가하는 데 있어서 버그 바운티 프로그램이 효율적이고 경제적인 접근 방식을 제공한다고 생각하지만 고객이 직접 보안을 테스트하기 원할 수도 있다는 점을 이해합니다. Atlassian은 고객이 보안 평가(침투 테스트, 취약성 평가)를 수행하는 것을 허용하며 모두의 안전을 위해 몇 가지 규칙을 지킬 것을 요청합니다.

취약성 보고

Atlassian에 보고할 문제를 발견하는 경우 취약성을 보고에 대한 설명을 참조하세요.

Atlassian의 한 가치는 열린 회사, 헛소리는 하지 않는다이며 취약성 공개는 그 가치의 일부라고 생각합니다. Atlassian은 관련 SLO(서비스 수준 목표) 내에서 보안 취약성을 해결하는 것을 목표로 합니다. 문제가 해결되어 프로덕션 단계에서 릴리스된 후 버그 바운티 프로그램을 통한 공개 요청을 수락합니다. 하지만 보고서에 고객 데이터가 포함되어 있으면 요청은 거부됩니다. 버그 바운티 프로그램 외부에 공개하려는 경우 합리적인 방식으로 Atlassian에 고지하고 관련 SLO가 통과될 때까지 기다려 주세요.

보안 테스트 프로그램에서 제외 사항

Atlassian은 수행하는 테스트뿐만 아니라 직접 수행하지 않거나 현재 지원하고 있지 않은 테스트에 대해서도 열려 있고 투명한 태도를 취하고 있습니다. 열거 및 정보 수집과 같은 특정 저위험 취약성 유형은 일반적으로 중대한 위험으로 간주되지 않습니다.

올바른 사항을 측정

Atlassian의 보안 버그 수정 정책은 심각도 및 제품에 따라 취약성을 해결하기 위한 SLO(서비스 수준 목표) 기간을 지정합니다. Atlassian은 취약성을 평가할 때 일반 취약성 점수 시스템을 사용하여 고객에게 취약성의 심각도를 전달합니다.

요약

Atlassian의 크라우드소싱 버그 바운티 프로그램, 외부 보안 컨설팅 회사, 내부 보안 테스트 팀이 포괄적이고 성숙하며 투명한 모델을 만듭니다. 제품 및 플랫폼이 계속 테스트되고 보호되어 고객에게 지속적으로 보증할 수 있습니다.

더 자세히 알아보시겠습니까?

Atlassian은 이 간단한 문서에서 다른 문서와 리소스를 많이 참조했으며, 보안 테스트에 대한 Atlassian의 접근 방식에 대해 자세히 알아보려면 이러한 문서와 리소스를 자세히 살펴보시기 바랍니다.

최신 버그 바운티 보고서 다운로드

아래의 보고서에서 식별된 보안 취약성은 버그 바운티 유입 프로세스를 거치는 동안 내부 Jira에서 추적할 수 있습니다. 버그 바운티에서 발견된 항목은 Atlassian의 공개 보안 취약성 SLO에 따라 선별 및 수정됩니다.

연간 버그 바운티 보고서 다운로드

분기별 버그 바운티 업데이트 외에도 버그 바운티 프로그램의 연간 보고서도 릴리스합니다. 이 보고서를 통해 고객은 프로그램 진행률에 대한 인사이트 및 발견된 취약성 유형에 대한 자세한 정보를 알 수 있습니다.