취약성 공개 프로그램 개발

취약성 관리에 대한 심층 방어 접근 방식의 경우 조직 내부 또는 외부의 사람이 보안 취약성이나 위험을 보고할 수 있도록 취약성 공개 프로그램을 생성합니다.

조직 내 사람을 위해 위험 또는 취약성을 제출하는 프로세스를 수립합니다. 이는 티켓팅 시스템 또는 이메일을 통해 수행할 수 있습니다. 선택하는 프로세스에 관계없이 직원은 프로세스를 인식하고 발생하는 취약성이나 위험을 쉽게 제출할 수 있어야 합니다.

조직 외부의 사람인 경우 잠재적 보안 취약성을 제출하기 위한 외부 웹 페이지를 설정합니다. 예를 들어 AWS Vulnerability Reporting 웹 페이지를 참조하세요. 이 웹 페이지에는 조직의 데이터 및 자산을 보호하는 데 도움이 되는 공개 지침도 포함되어야 합니다. 취약성 공개 프로그램은 잠재적으로 유해한 활동을 장려해서는 안 되므로 지침이 포함된 명확한 정책이 있어야 합니다. 성숙하고 책임감 있는 공개 프로그램의 빌드는 성숙한 프로그램으로 발전하면서 달성해야 할 목표입니다. 대부분 외부 공개 프로그램으로 시작하지 않으며, 제대로 정착하기까지 시간이 걸립니다.