보안 취약점을 오라클에 신고하는 방법

오라클 고객 또는 파트너는 My Oracle Support를 이용해 오라클 제품에서 발견했다고 판단되는 모든 보안 취약점에 대한 서비스 요청을 제출해 주십시오. 고객 또는 파트너는 발견 내용을 이메일(secalert_us@oracle.com)로 보내 주십시오. 오라클은 Oracle Security에 연락하는 사람들에게 자사의 encryption key를 이용해 이메일을 암호화하도록 권장합니다.

오라클은 보안 취약점을 발견하고 보안 픽스가 모든 고객들에게 발행될 수 있도록 오라클과 협력하는 독립 보안 리서치 커뮤니티의 멤버들을 소중하게 여기고 있습니다. 오라클의 정책은 보고된 보안 버그를 위한 픽스가 발표되면 CPU(Critical Patch Update Advisory) 문서에서 모든 연구원들을 크레딧에 포함시켜 공로를 인정한다는 것입니다. 공로를 인정 받기 위해서는 보안 연구원들은 다음과 같은 책임 있는 비공개 의무를 따라야 합니다.

  • 오라클이 이에 대한 픽스를 발표하기 전에 취약점을 공표하지 않는다.
  • 익스플로잇이나 PoC(Proof-of-Concept) 코드를 통해 문제의 정확한 세부 사항을 누설해서는 안됩니다. 오라클은 오라클 및 그 자회사의 직원이나 계약 직원들이 발견한 취약점의 경우, 이들을 크레딧에 포함시키지 않습니다