보안

이 페이지는 Kisenon의 정식 보안 정책입니다. RFC 9116 아래 /.well-known/security.txt가 광고하는 대상입니다.

취약점 신고

security@kisenon.com으로 다음을 담아 이메일을 보내세요:

• 문제에 대한 명확한 설명.
• 재현 단계 — 구체적인 명령, 요청 페이로드, 또는 작은 개념 증명. 막연한 느낌은 실행 불가능합니다.
• 영향을 받은 호스트명(kisenon.com, api.test.kisenon.com, 엔드포인트 호스트, 또는 기타)과 문제가 관찰된 날짜 및 시간.
• 공개 크레딧을 위한 선호 핸들, 또는 anonymous.

공개 GitHub 트래커에 보안 문제를 제기하지 마세요. 트래커는 제품 버그와 기능 요청을 위한 것이며, 전 세계에서 읽을 수 있어 수정되지 않은 취약점에 부적합합니다.

응답 목표

Kisenon은 알파 단계이며 소규모 팀이 운영합니다. 저희는 다음을 목표로 합니다:

• 영업일 기준 2일 이내 확인.
• 영업일 기준 5일 이내 분류 및 심각도 평가.
• 심각도에 비례하는 일정으로 수정 또는 완화. 중대한 문제는 기능 작업보다 우선합니다.

분류와 해결을 진행하면서 계속 업데이트를 드립니다. 수정이 출시되면, 당신과 공개 일정을 조율하겠습니다.

범위

범위 내:

• Kisenon이 운영하는 kisenon.com 정점과 그 하위 도메인 (api.test.kisenon.com, cp.kisenon.com, *.kisenon.com 아래 엔드포인트 호스트).
• 컨트롤 플레인 HTTP API, keon CLI, 그리고 웹 콘솔.
• 인증 및 세션 처리: NextAuth Google/GitHub 로그인, cp 서명 JWT 교환, CLI 루프백 OAuth 플로우, 그리고 API 키(nsk_…) 발행 및 폐기.
• 격리: 인가 없이 프로젝트 또는 조직 경계를 넘거나, 다른 조직의 메타데이터를 누설하거나, 엔드포인트별 네트워크 경계를 벗어나는 모든 경로.

범위 외:

• 공유 인프라에 대한 원시 트래픽 양을 통한 서비스 거부. 문서화된 한도에 대한 속도 제한 발견은 환영하지만, 플러딩은 취약점이 아닙니다.
• 작동하는 개념 증명 없이 자동 스캐너 출력에만 기반한 신고.
• Kisenon 직원이나 알파 테스터에 대한 사회 공학.
• 저희가 의존하는 서드파티 서비스(GitHub OAuth, Google OAuth, MetalLB, k3s, Postgres 자체)의 문제 — 그것들은 업스트림에 신고해 주세요. Kisenon 측 완화는 여전히 범위 내입니다.

안전 항구

저희는 다음을 따르는 연구자에 대해 법적 조치를 추구하지 않습니다:

• 이 정책을 준수하려는 선의의 노력을 합니다.
• 다른 조직의 서비스 가용성 저하를 피합니다.
• 문제를 입증하는 데 필요한 최소한을 넘어 데이터를 유출하지 않습니다. 접근이 입증되는 즉시 멈추세요. 열거하지 마세요.
• 수정이 출시되거나 신고 이후 90일이 경과하기 전에, 둘 중 먼저인 시점 이전에, 문제를 공개적으로 공개하지 않습니다.

PGP

PGP로 암호화된 신고는 허용되지만 필수는 아닙니다. 공개 키가 필요하면 초기 이메일에서 하나를 요청하세요. 저희가 현재 키 지문을 대역 외로 회신하겠습니다.

관련 문서

• /.well-known/security.txt — RFC 9116 기계가 읽을 수 있는 정책 포인터.
• 인증 — 로그인, API 키, CLI 플로우.
• FAQ — 보안 문제는 어디에 신고하나요? — 이 페이지로 돌아가는 짧은 포인터.