W3C 표준 취약점 공개 및 처리 절차와 정책

W3C 그룹 노트 초안

이 문서에 대한 자세한 정보
이 버전:
https://www.w3.org/TR/2026/DNOTE-security-disclosure-20260630/
최신 공개 버전:
https://www.w3.org/TR/security-disclosure/
최신 편집자 초안:
https://w3c.github.io/security-disclosure/
이력:
https://www.w3.org/standards/history/security-disclosure/
커밋 이력
편집자:
Simone Onofri (W3C)
Luca Lumini (초청 전문가)
이전 편집자:
Philippe Le Hegaret (W3C)
피드백:
GitHub w3c/security-disclosure (pull requests, 새 이슈, 열린 이슈)
저장소
Github에 있습니다.
버그를 제출하세요.
커밋 이력.
메일링 리스트
public-security-disclosure@w3.org

초록

이 문서는 W3C 표준 및 명세(기술 보고서)에서 의심되는 보안 취약점을 보고하는 방법을 정의하여, 문제가 적절한 W3C 절차를 통해 분류, 확인 및 해결될 수 있도록 한다.
이는 소프트웨어 구현 또는 W3C 운영 인프라의 취약점을 보고하기 위한 것이 아니다(범위 외 참조).

이 문서의 상태

이 절은 이 문서가 발행된 시점의 상태를 설명한다. 현재 W3C 간행물 목록과 이 기술 보고서의 최신 개정판은 W3C 표준 및 초안 색인에서 확인할 수 있다.

참고

이 문서는 진행 중인 작업이며 언제든지 예고 없이 변경될 수 있다.

이 문서는 Security Interest Group노트 트랙을 사용하여 그룹 노트 초안으로 발행했다.

그룹 노트 초안은 W3C 또는 그 회원의 승인을 받은 것이 아니다.

이 문서는 초안 문서이며 언제든지 다른 문서로 갱신, 대체 또는 폐기될 수 있다. 이 문서를 진행 중인 작업 이외의 것으로 인용하는 것은 적절하지 않다.

W3C 특허 정책은 이 문서에 대해 어떠한 라이선스 요구사항이나 약속도 수반하지 않는다.

이 문서는 2025년 8월 18일 W3C 절차 문서의 적용을 받는다.

1. 소개

1.1 개요

World Wide Web Consortium(W3C)은 W3C 표준 및 명세에 일부 보안 이슈가 있을 수 있음을 인식한다. W3C는 연구자들이 우리의 작업에 피드백을 제공하는 것을 고맙게 여기며, 이는 웹을 안전하게 유지하는 데 매우 중요하기 때문이다. W3C 명세에서 보안 이슈를 발견했다면, 여러분의 도움은 매우 중요하다.

1.2 목적

이 정책의 목적은 W3C의 표준에 대해 취약점 공개 절차가 어떻게 작동하는지 설명하는 것이다.

2. 범위와 적용

W3CW3C 권고안, 노트 및 레지스트리를 포함한 기술 보고서를 발행하는 표준 개발 기구이며, 이러한 문서는 웹 기술과 명세를 설명한다. 이러한 문서에는 때때로 참조나 예제 소스 코드가 포함될 수 있지만, W3C는 그 표준의 구현체를 구축하거나 유지관리하지 않는다.

따라서 이 정책은 W3C 명세에 설명된 설계 취약점 또는 보안 이슈에 적용된다.

이 정책은 다음을 포함하지 않는다:

3. 절차와 정책

W3C는 연구자들이 우리의 작업에 남긴 의견을 고맙게 여긴다. W3C의 대응은 문제가 발견된 기술 보고서의 유형, 문제의 심각도, 그리고 해결책의 복잡도에 따라 달라진다. W3C는 보안 이슈를 가능한 한 빨리 해결하고 수정하려고 노력한다. 이는 ISO/IEC 29147(취약점 공개 - VD) 및 ISO/IEC 30111(취약점 처리 - VH)의 권장 단계에 기반한 절차를 따른다.

W3C는 보안 이슈가 보고된 문서의 유형과 성숙도에 따라 보고서를 처리하고 전달한다.

3.1 W3C 표준의 취약점 보고

W3C 문서에서 취약점을 발견했다고 생각한다면, 조율된 공개를 위해 standards-vulnerability@w3.org로 연락해 달라.

이 이메일은 W3C 팀과 관련 그룹으로 구성되어 취약점 공개 및 처리를 조율하도록 지정된 그룹이 평가와 조치를 수행하기 위한 기준점 역할을 한다.

PGP 키를 사용하여 standards-vulnerability@w3.org로 암호화된 메시지를 보내는 것이 좋다. 이 이메일은 공개 아카이브가 없다.

절차를 원활하게 하기 위해, 여러분의 권고문에는 ISO/IEC 29147 및 NIST SP 800-216에서 권장하는 다음과 같은 세부 정보가 포함되어야 한다:

다음 사항에 유의하라:

3.2 보안 이슈의 접수 및 확인(VD)

접수되면 보안 이슈는 3영업일 이내에 확인되며, 보고자와의 커뮤니케이션 채널이 수립된다.

3.3 보안 이슈의 검증(VH)

확인 후, 보안 이슈는 그 유효성, 기술적 중요도, 중요성 및 잠재적 영향을 판단하기 위해 평가된다.

W3C이슈의 유효성을 검증하고 15근무일 이내에 보고자에게 알리는 것을 목표로 한다. 보안 이슈를 검증하기 위해 더 많은 정보가 필요한 경우, W3C는 출처에 추가 세부 정보를 요청할 것이다.

권고문은 그것이 참조하는 문서 유형에 따라 처리된다.

3.4 처리 및 해결 방안 개발(VH)

W3C는 이후 보고자 및 보안 이슈의 영향을 받는 그룹과 협력하며, 이는 주로 관련 문서를 갱신하는 일을 포함한다.

3.4.1 W3C 권고안 - 발행됨

이들은 완료되었고 커뮤니티 검토를 거친 표준이다.

  • 권고안을 만든 작업 그룹이 아직 활동 중인 경우, 해당 작업 그룹은 이를 해결하기 위한 가장 적절한 접근 방식을 결정할 책임이 있다. 확인될 경우, 취약점은 다음을 통해 처리될 수 있다:

    • 정오표(규범적 내용을 변경하지 않는 경미한 이슈나 수정의 경우). W3C 작업 그룹은 권고안에 대해 보고된 오류의 공개 기록을 유지해야 하며, 최소한 분기마다 집계해야 한다.
    • 갱신된 권고안 명세 문서(권고안을 개정).
    • 이슈를 처리하기 위한 완전히 새로운 문서.
  • 작업 그룹이 종료된 경우, W3C 팀은 이슈를 해결하기 위한 가장 적절한 접근 방식을 결정할 책임이 있다. 이슈의 심각도에 따라 다음 단계가 결정된다:

    • 경미한 이슈는 정오표로 다룰 수 있다(인가된 그룹이 없는 경우 W3C 팀이 유지할 가능성이 있음).
    • 더 중요한 갱신의 경우, W3C 팀은 다른 접근 방식을 추진할 수 있다.

W3C 절차에 따른 클래스 3 또는 4 변경은 더 광범위한 검토와 특허 정책상의 영향을 유발할 수 있다.

이슈는 GitHub의 보안 이슈 기능에서 처리된다.

3.4.2 후보 권고안(CR) 및 작업 초안(WD) - 개발 중

이들은 W3C 작업 그룹이 채택했지만 아직 최종 확정되지 않은 문서이다.

  • W3C 작업 그룹은 기술 보고서에 대한 모든 실질적인 검토 의견을 신속하게 공식적으로 처리해야 한다.

이슈는 관련 작업 그룹 메일링 리스트 또는 GitHub의 보안 이슈 기능에서 처리된다.

3.4.3 편집자 초안 - 초기 단계/개별 기여

이들은 W3C에서 공식적으로 채택된 문서가 아니다. W3C 명세로 발행되지 않은 편집자 초안은 공식적 지위를 갖지 않는다.

  • 이슈는 문서의 편집자와 처리되고 논의되어야 한다.
  • 공식적으로 채택되지는 않았지만, 이슈는 관련 작업 그룹 메일링 리스트 또는 GitHub의 보안 이슈 기능에서도 논의될 수 있다.

이슈는 관련 작업 그룹 메일링 리스트 또는 GitHub의 보안 이슈 기능에서 처리된다.

3.4.4 중단, 폐기 또는 철회된 문서

  • 중단, 폐기 또는 철회로 표시된 W3C 기술 보고서는 보안 이슈 보고에 대응하여 조치가 취해질 가능성이 낮다. 그래도 팀은 문서의 상태(SOTD)에 이를 기재할지 평가해야 한다.

이슈는 GitHub의 보안 이슈 기능에서 처리된다.

3.4.5 커뮤니티 그룹 보고서

이들은 W3C에서 공식적으로 채택된 문서가 아니며, 커뮤니티 및 비즈니스 그룹 절차가 이를 규율한다.

  • 발견된 모든 이슈는 문서의 편집자와 처리되고 논의되어야 한다.

이슈는 관련 커뮤니티 그룹 메일링 리스트 또는 GitHub의 보안 이슈 기능에서 처리된다.

3.4.6 회원 제출

이들은 W3C에서 공식적으로 채택된 문서가 아니다. 회원 제출은 회원들이 검토를 위해 제안한 것이다.

  • 발견된 모든 이슈는 문서의 편집자와 처리되고 논의되어야 한다.

이슈는 회원의 정책에 따라 처리된다.

3.5 공개 및 배포(VD)

갱신 사항이 제공되고 관련 기술의 갱신과 릴리스를 구현할 충분한 시간이 주어진 후, W3C는 수정된 취약점에 대한 정보의 공유와 공개적 공개를 권장한다. 여기에는 취약점 설명, 사용자가 영향을 받는 표준을 식별할 수 있게 하는 정보, 영향, 심각도, 그리고 구현자와 사용자가 해결할 수 있도록 돕는 명확하고 접근 가능한 정보가 포함된다. 일부 경우에는 공개로 인한 보안 위험이 보안상 이점보다 클 때, 구현자와 사용자가 관련 대응 조치를 적용할 기회를 가진 이후까지 공개가 지연될 수 있다.

W3C는 취약점이 해결된 후 여러분의 보고서를 공개해 달라는 요청을 환영하며, 공개 릴리스를 조율하는 것을 목표로 한다. 보고자가 공개적으로 인정받기를 원한다면, W3C는 보고자가 공개적으로 공로를 인정받기를 원하는 경우, 취약점을 보고한 것에 대해 그들을 인정할 것이다.

A. 감사의 말

이 문서는 IETF 프로토콜 취약점 보고W3C 보안 공개 모범 사례에 기반한다. 여러 사람이 이 문서에 기여했다. 편집자는 특히 Philippe Le Hegaret, Ian Jacobs 및 François Daoust에게 감사한다.