취약성 공개 프로그램 개발

취약성 관리에 대한 defense-in-depth 접근 방식의 경우 조직 내부 또는 외부의 사람이 보안 취약성 또는 위험을 보고할 수 있도록 취약성 공개 프로그램을 생성합니다.

조직 내 사람들의 경우 위험 또는 취약성을 제출하는 프로세스를 수립합니다. 이는 티켓팅 시스템 또는 이메일을 통해 수행할 수 있습니다. 선택하는 프로세스에 관계없이 직원은 프로세스를 인식하고 발생하는 취약성 또는 위험을 쉽게 제출할 수 있어야 합니다.

조직 외부의 사람의 경우 잠재적 보안 취약성을 제출하기 위한 외부 웹 페이지를 설정합니다. 예를 들어 AWS 취약성 보고 웹 페이지를 참조하세요. 이 웹 페이지에는 조직의 데이터 및 자산을 보호하는 데 도움이 되는 공개 지침도 포함되어야 합니다. 취약성 공개 프로그램은 잠재적으로 유해한 활동을 장려해서는 안 되므로 지침이 포함된 명확한 정책이 있어야 합니다. 성숙하고 책임감 있는 공개 프로그램을 구축하는 것은 프로그램을 성숙하게 만들 때를 위해 노력하는 목표입니다. 대부분은 외부 공개 프로그램으로 시작하지 않으며 올바른 공개 프로그램을 만드는 데 시간이 걸립니다.