Created with Sketch.

Recovery Email

Your account give you access to even more premium content, don't lose access to it. Provide a recovery email below.
  • Secondary E-mail

책임 있는 정보 공개 프로그램

취약성 수정 준비가 완료되면 ServiceNow 정기 패치 주기에 고객에게 배포됩니다.

개요

ServiceNow는 보안을 매우 중요하게 생각합니다. ServiceNow 시스템, 제품, 네트워크 인프라에서 취약성을 발견하면 책임감을 가지고 당사에 알려주시기 바랍니다. ServiceNow는 당사 인프라를 적극적으로 감사하려는 시도를 용납하지 않습니다. 취약점은 우연히 발견되기도 합니다. 다음은 이러한 취약점 정보의 제출에 관한 베스트 프랙티스를 안내합니다.

범위

참고: ServiceNow는 당사 인프라를 적극적으로 감사하려는 시도를 용납하지 않습니다.

본 문서는 ServiceNow가 소유한 제품, 서비스, 시스템의 기술적 취약성에 적용됩니다. 취약성을 보고할 때는 공격 시나리오 또는 악용 가능성과 버그의 보안 영향을 모두 고려해 주십시오. 다음 도메인은 당사 자산의 예시입니다.

*.servicenow.com
*.service-now.com

범위 외

  • 승인된 테스팅 범위 외의 도메인 및 서브도메인
  • 서비스 거부(DoS) 공격 관련 취약성
  • 자동화 도구 또는 스캔을 통해 발견된 취약성
  • 사용자의 컴퓨터 또는 장치에 대해 물리적 액세스가 필요한 취약성
  • ServiceNow 파트너 사이트의 취약성
  • 스팸 또는 소셜 엔지니어링 기술
  • ServiceNow 사무실 또는 데이터 센터에 대한 물리적 공격


가이드라인

취약성을 공개할 때는 아래 가이드라인을 따르십시오.

  • 잠재적 보안 문제를 최대한 신속히 보고하십시오. ServiceNow에서는 문제를 해결하기 위해 신속히 모든 노력을 다할 것입니다.

  • 개념 증명을 포함하여 취약성을 재현하는 데 필요한 세부 정보를 충분히 제공합니다.

  • ReproNow를 사용하여 해당 문제가 재현될 수 있는지의 여부를 시연하는 일은 권장되지만 필수 사항은 아닙니다.

  • ServiceNow에서 문제를 해결하기 전까지는 이를 외부 일반 또는 제3자에게 공개하지 않습니다.

  • 문제 보고가 개인정보 보호 위반, 데이터 파괴, 당사 서비스의 중단 또는 품질 저하로 이어지지 않도록 배려해 주십시오. 상호작용 가능한 계정은 귀하께서 보유한 계정이나 명시적인 권한을 가진 계정에 한합니다.

  • 수정된 취약성에 관한 정보에서 프로그램 또는 ServiceNow 고객 식별이 가능한 표현 또는 이미지가 있으면 수정합니다.

  • DoS처럼 파급력이 높은 테스트를 수행하거나 정보 및 시스템의 기밀성, 무결성 또는 가용성에 영향을 줄 수 있는 활동을 행하지 않습니다.

  • 고객 또는 직원을 대상으로 소셜 엔지니어링 또는 피싱을 행하지 않습니다.

  • 책임 있는 정보 공개 프로그램을 통해 발견된 취약성 또는 취약성을 발견하기 위해 들인 시간 및 자원에 대한 보상은 요청하지 않습니다.


취약성 제출

취약성은 disclosure@servicenow.com으로 이메일을 통해 보고서(개념 증명 포함)를 제출해 주십시오. ServiceNow에서는 제출된 보고서를 5영업일 이내에 검토하고 이에 대응할 것입니다.

참조

 

ServiceNow와 사용자의 안전을 지켜주시는 데 감사의 말씀을 드립니다.