기술

잠재적인 제품 보안 취약성 보고

TI PSIRT 정보

TI는 자사 제품의 보안에 높은 우선 순위를 설정합니다. 하지만 우리 모두가 알고 있듯이, 제품 보안에 아무리 많은 노력을 기울여도 100% 안전한 제품이나 고객 시스템은 존재할 수 없습니다. TI는 제품에 영향을 미치는 잠재적인 보안 문제에 대해 자세히 알아봄으로써 이러한 문제를 신속하게 해결하는 데 필요한 단계를 수행하고자 합니다. TI의 PSIRT(Product Security Incident Response Team, 제품 보안 사고 대응 팀)는 하드웨어, 소프트웨어, 문서를 비롯하여 TI 반도체 제품과 관련된 잠재적인 보안 취약성 보고를 승인하고 이에 대응하는 절차를 감독합니다.

잠재적인 보안 취약성을 보고하는 방법

psirt@ti.com에서 TI PSIRT에 문의하여 잠재적인 보안 취약성을 보고할 수 있습니다. 보고는 영어로 이루어져야 합니다. TI는 적절한 시기에 이메일 수신을 확인하는 응답을 합니다. 

취약성 정보는 매우 민감합니다. TI PSIRT는 TI PSIRT PGP/GPG 키를 사용해서 제출된 모든 보안 취약성 보고를 암호화된 상태로 전송하는 것을 적극 권장합니다.

  • 지문: 898C ECC3 451F 9438 D972  06B6 4C13 1A0F 9AF0 04D8
  • 공용 키 파일 (ZIP, 3KB)

 

Free software to read and author PGP/GPG 암호화 메시지를 읽고 작성하는 무료 소프트웨어는 다음 사이트에서 얻을 수 있습니다.

보고서에 포함하도록 권장되는 정보

TI PSIRT에서 잠재적인 보안 취약성을 분별하는 데 도움이 되도록 다음 정보를 제공하는 것이 좋습니다.

  • 영향을 받을 가능성이 있는 TI 하드웨어 또는 소프트웨어(버전 또는 개정판 포함)
  • 잠재적인 취약성이 발견된 방식, 시기 및 발견한 사람
  • 모든 관련 (1) 알려진 악용 및 (2) 기존 CVE ID를 비롯한 잠재적인 취약성에 대한 기술 설명
  • TI가 필요한 후속 질문을 할 수 있는 연락처 정보

보고 처리 프로세스

보고를 제출하면 TI는 다음 프로세스에 따라 잠재적 보안 취약성을 평가하고 이에 대응합니다.

  1. 인식: TI가 잠재적 보안 취약성을 알게 됩니다.
  2. 초기 분별: TI는 제출된 내용을 검토하여 TI 제품이 영향을 받을 수 있는지 여부 및 충분한 정보가 제공되었는지 여부를 판단합니다.
  3. 기술 분석: TI는 기술적 깊이를 더하여 보고된 잠재적 취약성을 조사합니다.[1]
  4. 해결:
  5.     
  6. TI는 확인된 제품 보안 취약성에 대해 적절한 조치를 취합니다.
  7. 공개: 적절한 경우, TI는 확인된 취약성에 대한 정보를 공개하고 해결 방안을 제공합니다(예: 보안 권고 또는 게시판을 통해). 

 

[1] TI는 CVSS(Common Vulnerability Scoring System) v3.0을 사용하여 취약성에 점수를 매깁니다. 이를 통해 분석 및 해결을 위한 취약성의 우선 순위가 적절하게 설정됩니다. 필요한 경우, 취약성에 대한CVE(CommonVulnerabilities and Exposures) ID 가 생성될 수 있습니다. 

책임 처리 정책

대부분의 기술 업계가 그러하듯, TI PSIRT는 책임 처리 정책을 따릅니다.  TI의 정책은 고객이 TI로부터 기대할 수 있는 것과 TI가 고객으로부터 기대할 수 있는 것을 설명합니다. 이 정책은 CERT® Guide to Coordinated Vulnerability Disclosure(조직적인 취약성 공개 CERT® 가이드)에 기반합니다. 보고를 제출하기 전에 TI와 고객 관계의 기본을 설명하고 있는 TI 정책을 검토하십시오.

미디어 문의

TI 제품의 보안에 관련된 미디어 문의는 news.ti.com으로 전달될 수 있습니다.