FIM One은 보안을 매우 중요하게 생각합니다. 취약점을 발견하신 경우 저희에게 알려주시기 바라며, 책임감 있는 공개에 대해 크레딧을 드리겠습니다.
취약점 보고
보안 취약점에 대해 공개 GitHub 이슈를 열지 마세요. 아래의 비공개 채널 중 하나를 사용하세요.
- GitHub Security Advisories (권장) — 비공개 권고 생성. 수정 사항이 릴리스될 때까지 유지보수자만 볼 수 있습니다.
- 이메일 — security@fim.ai로 설명, 재현 단계, 영향을 받는 버전 및 영향 평가와 함께 세부 정보를 보내세요.
낮은 심각도 문제(예: 민감한 데이터를 노출하지 않는 누락된 보안 헤더)의 경우 security 레이블과 함께 일반 GitHub 이슈를 열 수 있습니다.
응답 타임라인
| 단계 | 목표 |
|---|
| 승인 | 48시간 이내(업무일 기준) |
| 초기 평가 | 5업무일 이내 |
| 수정 개발 | 긴급: 즉시. 높음: 2주. 중간/낮음: 다음 릴리스. |
| 공개 공시 | 수정 사항이 릴리스되고 사용자가 업데이트할 시간을 가진 후 |
범위 내
- 인증 및 권한 부여 우회
- SQL 주입, 명령 주입 또는 코드 실행
- 크로스 사이트 스크립팅(XSS) 또는 크로스 사이트 요청 위조(CSRF)
- 자격 증명 또는 API 키 노출
- 사용자 또는 조직 간 권한 상승
- 테넌트 경계 간 데이터 유출
범위 외
- 타사 의존성의 취약점 (업스트림에 보고; Dependabot을 통해 모니터링)
- 소셜 엔지니어링 공격
- 현실적인 공격 벡터가 없는 서비스 거부(DoS)
- 자체 호스팅 배포에 영향을 주지 않는 데모/클라우드 환경의 문제
자체 호스팅 보안 모범 사례
자신의 인프라에서 FIM One을 실행하는 경우 배포를 강화하기 위해 다음 권장사항을 따르세요.
이러한 사례는 프로덕션 배포에 적용됩니다. 로컬 개발의 경우 기본값으로 충분합니다.
| 사례 | 세부 정보 |
|---|
.env 보호 | 버전 관리에서 제외하세요(.gitignore에 기본적으로 포함됨). 파일 권한을 애플리케이션 사용자만으로 제한하세요. |
강력한 JWT_SECRET_KEY | 암호학적으로 안전한 난수 값을 사용하세요(최소 32자). 환경 간에 시크릿을 재사용하지 마세요. |
| TLS를 사용한 역프록시 | nginx, Caddy 또는 HTTPS가 활성화된 클라우드 로드 밸런서 뒤에서 실행하세요. 애플리케이션 포트를 인터넷에 직접 노출하지 마세요. |
| PostgreSQL 사용 | SQLite는 개발 및 단일 사용자 설정에 적합합니다. 다중 사용자 프로덕션 배포의 경우 적절한 동시성 및 데이터 무결성을 위해 PostgreSQL을 사용하세요. |
| 최신 상태 유지 | 정기적으로 최신 릴리스를 가져오세요. 보안 패치는 최선의 노력으로 이전 마이너 버전에 백포트됩니다. |
| 네트워크 액세스 제한 | 데이터베이스 및 애플리케이션 포트를 신뢰할 수 있는 네트워크로 제한하세요. 방화벽 규칙 또는 보안 그룹을 사용하세요. |
보안 명예의 전당
확인된 취약점 보고자 모두를 인정합니다(익명을 원하는 경우 제외). 보고자는 Pioneer Program의 자격도 갖춥니다.
여기에 처음으로 인정받는 보안 연구원이 되세요.
전체 보안 정책
이 페이지는 핵심 사항을 요약합니다. 완전한 보안 정책은 GitHub의 SECURITY.md를 참조하세요. 
