Security Policy

70mai 취약점 공개 정책

70mai는 고객과 데이터를 보호하기 위해 최고의 보안 표준을 준수하는 제품 및 서비스를 개발하고자 최선을 다하고 있습니다. 당사는 보안 연구원, 학계, 그리고 더 넓은 보안 커뮤니티의 다른 분들이 잠재적 보안 취약점에 대한 정보를 제공하는 것을 환영합니다.

70mai의 보안 팀은 이러한 취약점을 지적하는 사람들과 협력할 준비가 되어 있으며, 모든 관련 제출 내용을 인정하기 위해 노력합니다.

제품 보안 사고 대응 팀에 연락해야 하는 경우

연구원 및 사용자는 https://www.70mai.com/contact-us/를 통해 70mai에 보안 취약점 또는 버그를 보고하거나 security@70mai.com으로 이메일을 보낼 수 있습니다.

사고 대응 계획

보안 사고 대응 계획은 다음과 같습니다.

1. 전담 고객 서비스 팀은 웹사이트 문의 메뉴에 올라오는 정보를 매일 모니터링하며 보안 관련 게시물이 발견되면 70mai의 보안 팀에 보고합니다. 한편, 보안 팀은 security@70mai.com을 매일 모니터링합니다.

2. 보안 팀에서 사고의 심각도를 판단하고 PM(프로그램 관리자)에게 알립니다.

3.취약점에 점수를 매기거나 등급을 매길 때 70mai는 표준 산업 모범 사례를 따라 취약점의 잠재적 영향을 높음, 중간 또는 낮음으로 지정합니다.

4. 사고의 심각도에 따라 다음 단계가 수행됩니다.
a) 높음: PM은 즉시 엔지니어링 HEAD, 보안 팀, 관련 엔지니어와 회의를 합니다. 회의에서 수정 계획을 세웁니다. 클라우드에 대한 수정이 즉시 시작됩니다. 앱과 펌웨어는 가능한 한 빨리 수정되고 OTA는 위의 표에 나온 시간까지 사용자에게 푸시됩니다.
b) 중간: PM은 보안 팀 및 관련 엔지니어와 회의를 합니다. 회의에서 수정 계획을 세웁니다. 그리고 수정/OTA는 위 표에 나온 시간까지 완료됩니다.
c) 낮음: PM은 보안 팀 및 관련 엔지니어와 논의하고 수정 계획을 세웁니다. 해당 수정/OTA는 위 표에 나온 시간까지 완료됩니다. 보안 팀은 24시간 이내에 위의 모든 사건에 관해 avs-security@amazon.com에 알릴 것이며 사건 설명 및 심각도를 포함한 초기 보고서가 메일에 첨부됩니다. 문제 해결 계획 및 해당 릴리스/OTA 일정을 포함하는 또 다른 보고서는 최대한 빨리 avs-security@amazon.com으로 전송됩니다.

70mai로부터 보안 정보 수신

보안 권고

대부분의 경우, 당사는 특정 보안 취약점에 대한 실질적인 해결 방법 또는 수정 사항을 확인했을 때 공지를 게시하지만, 취약점이 보안 커뮤니티에 널리 알려진 경우 당사가 해결 방법이 없는 상태로 공지를 게시하는 경우가 있을 수 있습니다.

릴리스 노트(readme 또는 변경 내역)

보안 업데이트와 관련된 릴리스 정보에 포함된 정보는 CVE 또는 내부 추적 번호를 참조합니다. 해당하는 경우, 게시된 보안 권고에는 둘 다 포함됩니다. 최대한 빨리 업데이트하는 것이 고객에게 최선의 이익이라고 70mai가 판단하는 경우, 보안 권고에 앞서 수정 사항을 릴리스할 수 있습니다. 권고가 게시되면, 릴리스 정보의 추적 번호를 참조하여 취약점에 대한 정보를 찾을 수 있습니다.

오픈 소스 취약점 수정과 관련된 릴리스 정보에 포함된 정보에는 게시된 CVE가 포함됩니다.

70mai는 오픈 소스 취약점에 대한 보안 권고를 게시하지 않습니다.