Dell Technologies는 고객이 제품의 보안 취약점과 관련된 위험을 최소화하는 데 도움을 드리기 위해 노력하고 있습니다. Dell Technologies의 목표는 적시에 취약성을 해결하기 위한 정보, 안내 및 완화 옵션을 고객에게 제공하는 것입니다. Dell PSIRT(Dell Product Security Incident Response Team)는 Dell Technologies 제품에 영향을 미치는 제품 취약성에 대한 대응 및 공개 관련 조율을 담당합니다.
Dell Technologies는 FIRST(Forum of Incident Response and Response Teams)(영어로)와 SAFECode(Software Assurance Forum for Excellence in Code) (영어로)를 비롯한 다양한 커뮤니티 활동 (영어로)에 적극적으로 참여하고 있습니다. Dell Technologies의 프로세스 및 절차는 FIRST PSIRT 서비스 프레임워크 (영어로)뿐만 아니라 ISO/IEC 29147:2018 (영어로), ISO/IEC 30111:2019 (영어로)를 포함한 기타 표준을 준수합니다.
고객의 보안은 그 무엇보다도 중요합니다. 따라서 Dell Technologies는 업계 파트너 및 보안 연구자를 존중하고, 보안 이니셔티브에 대한 모든 기여를 높이 평가하며, 조율을 거친 책임감 있는 공개를 장려합니다. Dell Technologies의 목표는 Dell Technologies 관련 취약성이 공개되는 시점에 해결책 및/또는 완화 전략을 이용할 수 있도록 하고, 문제 해결을 위해 협업이 필요할 때 타사 공급업체와 협력하는 것입니다.
이 정책에 따라 새로운 취약성에 관해 공개된 모든 정보는 기밀로 간주되며 해당 정보가 아직 공개되지 않은 경우 해결책을 마련하고 공개 활동이 조율될 때까지 Dell Technologies와 보고 당사자 간에만 공유되어야 합니다.
당사는 보고된 취약성을 조사하고 검증한 후 Dell Technologies의 적극적인 지원을 받는 제품에 대한 적절한 해결책을 개발하고 검증하기 위해 노력할 것입니다. 해결책의 형식은 다음 중 하나 이상일 수 있습니다.
Dell Technologies는 상업적으로 합당한 최단 시간 내에 해결 또는 개선 조치를 제공하기 위해 최선을 다합니다. 응답 일정은 다음과 같은 여러 요인에 따라 달라집니다.
Dell Technologies는 CVSS(Common Vulnerability Scoring System)(영어로) 표준 버전 3.1(CVSS v3.1)을 사용하여 Dell 제품 취약성의 특징을 알립니다. 이 표준은 FIRST에서 유지 관리합니다.
CVSS 점수 산정은 취약성의 심각도를 수치화하는 수적인 수단으로, 취약성을 악용하는 데 드는 노력의 정도와 악용할 경우 발생할 수 있는 영향 등 여러 가지 요인을 고려합니다. Dell Technologies는 아래와 같은 척도에 따라 심각도의 수치 점수, 벡터 문자열 및 정성적 표현(위험, 높음, 중간, 낮음 중 하나)을 통해 취약성이 미치는 영향 평가를 요약합니다.
심각도 | CVSS v3.1 점수 |
위험 | 9.0~10점 |
높음 | 7.0~8.9점 |
중간 | 4.0~6.9점 |
낮음 | 0.1~3.9점 |
취약성, CVSS 점수 및/또는 벡터 문자열에 대한 Dell Technologies의 평가는 다른 소스에서 제공하는 평가와 다를 수 있습니다. 평가가 불일치하는 경우 Dell Technologies는 Dell 보안 권장 사항에 포함된 정보를 신뢰할 수 있는 정보 소스로 사용합니다.
Dell Technologies는 보안 권장 사항, 알림 및 정보 문서를 게시해 고객에게 제품에 영향을 미치는 보안 취약성을 알립니다.
Dell이 솔루션을 분석 및 식별한 후 고객이 스스로를 보호하고 취약성을 완화 및/또는 해결할 수 있는 방법에 대한 가이드나 지침을 제공하기 위해 보안 권장 사항이 게시됩니다.
보안 권장 사항은 취약성의 영향을 평가하고 잠재적으로 영향을 받는 제품의 문제를 해결할 수 있도록 충분한 세부 정보를 제공하기 위한 것입니다. 그러나 악의적인 행위자가 제공된 정보를 활용하여 고객에게 손해를 끼칠 가능성을 줄이기 위해 전체 세부 정보 공개가 제한될 수 있습니다.
Dell 보안 권장 사항에는 해당하는 경우 일반적으로 다음 정보가 포함됩니다.
개별 사례에 따라 Dell Technologies는 공개적으로 알려진 보안 취약성을 인정하고 추가 정보를 언제(또는 어디서) 사용할 수 있는지와 관련하여 설명이나 기타 지침을 제공하기 위해 보안 공지를 게시할 수 있습니다.
Dell Technologies는 다음과 같은 보안 관련 항목에 대한 정보를 공유하기 위해 보안 관련 정보 문서를 게시할 수 있습니다.
Dell 보안 권장 사항 및 알림은 www.dell.com/support/security(영어로)에서 확인할 수 있습니다. 인증되면 이 링크에서 정보 문서를 사용할 수 있습니다.
Dell 제품에서 보안 취약성을 발견하는 경우 즉시 보고해 주시기 바랍니다. 보안 취약성을 적시에 식별하고 보고하는 것은 고객의 잠재적 위험을 완화하는 데 중요합니다. 보안 연구원은 Dell Bugcrowd 사이트(영어로)를 통해 제품 취약성 보고서를 제출해야 합니다. 엔터프라이즈 및 커머셜 제품 고객 및 파트너는 해당 기술 지원 팀에 문의하여 Dell Technologies 품에서 발견된 모든 보안 문제를 보고해야 합니다. 기술 지원 팀, 해당 제품 팀 및 Dell PSIRT는 함께 협력하여 보고된 문제를 해결하고 고객에게 다음 단계를 제공합니다.
기술 지원에 액세스할 수 없거나 버그 바운티 프로그램을 사용하지 않으려는 업계 단체, 공급업체 및 기타 사용자는 이메일을 통해 Dell PSIRT에 직접 취약성 보고서를 보낼 수 있습니다. 기밀 정보를 전송하는 경우 이메일 메시지 및 첨부 파일은 여기에서 다운로드할 수 있는 PGP 및 Dell PSIRT PGP 키를 사용하여 암호화해야 합니다. Dell Technologies는 가능한 상황이 되면 즉시 취약성 공개 보고서를 승인합니다.
Dell Technologies는 그 어떤 경우에도 수령 후 영업일 기준 3일 이내에 취약성 공개 보고서를 확인하고 30일 이내에 문제 해결에 대한 업데이트를 제공하는 것을 목표로 합니다.
잠재적인 취약성을 보고하는 경우 보고된 문제의 특성과 범위를 더 잘 이해하는 데 도움이 되도록 아래 정보를 최대한 많이 포함시켜 주시기 바랍니다.
취약성으로 인해 기밀 정보 또는 비공개 정보(타사 데이터, 개인 데이터 또는 Dell Technologies가 내부용, 제한됨 또는 매우 제한됨으로 표시한 모든 정보 포함)에 액세스할 수 있는 경우 해당 취약성을 Dell Technologies에 보고하는 데 필요한 정보만 최소한으로 액세스해야 합니다. Dell Technologies에 제출하는 것 외에도 그러한 정보를 저장, 이전, 사용, 보존, 공개 또는 복사해서는 안 됩니다.
또한 소유자의 명시적 허가가 없는 한 Dell Technologies 시스템의 무결성 또는 가용성에 영향을 미치는 어떠한 작업도 수행해서는 안 됩니다. POC(Proof of Concept)를 얻는 데 필요한 최소한의 작업만 수행하십시오. 조사 중에 성능이 저하되거나 고객 데이터 또는 서비스 구성에 액세스하는 등 위반 또는 중단을 유발하는 경우 자동화된 툴의 사용을 중단하고 인시던트를 즉시 보고하시기 바랍니다. 보안 조사가 이 정책에 부합하는지 우려되거나 확실하지 않은 경우 언제든지 더 진행하기 전에 secure@dell.com으로 문의해 주십시오.
Dell Technologies에 다른 유형의 보안 문제를 보고하려면 아래에 나열된 적절한 연락처를 사용해 주십시오.
보안 문제 | 연락처 정보 |
Dell.com 또는 기타 온라인 서비스, 웹 애플리케이션 또는 속성의 보안 취약성 또는 문제를 보고하려면 | 문제를 재현하는 단계별 지침을 포함한 보고서를 https://bugcrowd.com/dell-com(영어로)에 제출해 주십시오. |
신원 도용이 의심되거나 Dell Financial Services와 관련하여 사기 거래를 경험한 경우 | Dell Financial Services 보안(영어로)을 참조해 주십시오. |
개인 정보 보호 관련 요청 또는 질문을 제출하려면 | Dell 개인 정보 보호(영어로)를 참조해 주십시오. |
Dell Technologies는 릴리스 노트, 기술 자료 문서 및 FAQ(자주 묻는 질문)를 포함할 수 있는 보안 권장 사항 및 관련 문서에 취약성 문제 해결 작업에 대한 정보를 제공하여 최대한 투명하게 운영하기 위해 노력하고 있습니다. Dell Technologies는 식별된 취약성에 대해 확인된 악용 또는 POC(Proof of Concept)를 공유하지 않습니다. 또한 업계 관행에 따라, Dell Technologies는 내부 보안 테스트의 테스트 결과나 POC(Proof of Concept) 또는 권한이 필요한 기타 유형의 정보를 외부 관계자와 공유하지 않습니다.
Dell Technologies 소프트웨어 제품의 취약성을 비롯하여 보증, 지원 및 유지 보수와 관련된 Dell Technologies 고객의 자격은 오직 Dell Technologies와 개별 고객 간에 체결된 해당 계약의 적용을 받습니다. 이 웹 페이지의 진술은 고객 권한을 수정, 확대 또는 다른 방식으로 개정하거나 추가 보증을 성립시키지 않습니다.
이 취약성 대응 정책에 대한 모든 요소는 통지 없이 변경될 수 있습니다. 특정 문제 또는 문제의 등급에 대한 대응은 보장되지 않습니다. 이 문서에 포함되거나 이 문서에 링크된 자료에 대한 정보를 사용하는 것은 사용자의 책임입니다.