보안 · VDP
취약점 제보 가이드
Draft 는 조정된 공개(Coordinated Disclosure) 방식을 따릅니다. 발견하신 취약점은 공개 전 먼저 저희에게 알려주시고, 수정 배포 후 상호 합의된 시점에 공개하는 구조입니다.
제보 경로
- 이메일: team@dailydraft.me (제목에
[Security]포함 권장) - RFC 9116: /.well-known/security.txt
- GitHub Security Advisory: private vulnerability reporting
응답 SLA
| 단계 | 목표 | 내용 |
|---|---|---|
| 초기 응답 | 24시간 이내 | 제보 수령 확인, 담당자 배정. |
| 초기 평가 | 72시간 이내 | 재현 여부·심각도 판정·수정 일정 공유. |
| 수정 배포 | 최대 30일 | 심각도 SEV-0·1 은 최우선 핫픽스, SEV-2·3 은 정규 사이클 반영. |
| 공개 조율 | 수정 완료 +14일 | 제보자와 공동 조율 후 Security Advisory · 릴리스 노트 게시. |
범위 (In-Scope)
- dailydraft.me 및 서브도메인 전체
- Draft iOS/Android 앱 (출시 시)
- 공개 API 엔드포인트(/api/*)
- OAuth 통합(Discord, Threads 등)
- 권한 경계(RLS·admin 체크)
- 저장된 시크릿 유출
범위 외 (Out-of-Scope)
- Vercel·Supabase·Cloudflare 자체 인프라 (각 벤더에 직접 제보)
- 브루트포스·DDoS 시도
- 이메일 스푸핑(DMARC 설정 완료됨)
- Self-XSS, UI redressing 만으로는 impact 증명 불가
- 프로덕션 유저 데이터 탈취·파괴 행위
- 제3자 라이브러리 CVE 의 단순 버전 스캐너 출력
Safe Harbor
본 정책을 선의로 준수하여 취약점을 제보하신 연구자에게는 Draft 가 관련 법적 조치 (정보통신망법·형법 등)를 제기하지 않습니다. 동시에, 실제 유저 데이터 열람·변경·파괴를 수반한 행위, DDoS, 금전 요구(협박) 등은 Safe Harbor 적용 대상이 아닙니다.
본 조항은 제3자(수탁업체)에 대한 행위에는 적용되지 않습니다.
보상
현재 Draft 는 금전 보상 프로그램을 운영하지 않습니다. 대신 선의의 제보자께는 공개 동의 후 SECURITY.md Acknowledgements 섹션에 기재해 드립니다.
매출 규모가 커지면 금전 보상 프로그램(HackerOne 또는 자체 운영) 도입을 검토할 예정입니다.
관련 문서
- 신뢰 센터 — 보안·컴플라이언스 통합 진입점
- 시스템 상태 — 실시간 헬스체크·인시던트 이력
- SECURITY.md (전문)