Security
Weights & Biases 플랫폼은 강력한 보안 기능을 제공하여 귀하의 데이터를 안전하게 보호합니다. 데이터는 인증, 권한 부여, 암호화 등을 위한 사전 구성된 보안 기능으로 보호됩니다.
또한, Weights & Biases는 조직 내에서 업계 최고의 보안 통제를 유지하여 직원들에게 적절한 교육, 접근 권한, 추가 보안 보호를 제공합니다.
Access provisioning
고객은 사용자 기반을 유지하고 관리하여 승인된 사용자만이 고객의 프로그램과 계정에 접근할 수 있도록 합니다. Weights & Biases는 역할 기반 접근 제어(RBAC)를 제공하여 적절한 접근 관리에 종종 필요한 세분성을 보장합니다.
Security testing
데이터 보안의 일환으로, 취약점을 제때 식별하고 수정하는 것이 중요합니다. Weights & Biases는 정기적인 취약점 테스트와 침투 테스트를 결합하여 이러한 목표를 달성합니다.
Auditing and compliance
Weights & Biases는 내부 감사 프로그램과 제3자 감사를 통해 성숙한 감사 및 준수 프로그램을 유지하고 있습니다.
Weights & Biases는 SOC2와 HIPAA를 준수합니다.
Encryption
Weights & Biases의 데이터 암호화는 TLS 1.2+를 사용한 전송 중 암호화와 AES 256을 사용한 저장 시 암호화를 통해 데이터의 전체 라이프사이클 동안 강력한 보호 기능을 제공합니다.
Authentication and authorization
고객 데이터를 안전하게 보호하는 것은 Weights & Biases의 근본적인 부분입니다. 적절한 접근 제어는 이 사명의 일부입니다. Weights & Biases는 인증 및 권한 부여를 위한 몇 가지 방법을 제공하며, 그 중 하나는 OIDC, LDAP, 또는 SAML을 사용한 싱글 사인온(SSO)입니다.
Bug bounty program overview
Weights & Biases 버그 바운티 프로그램에 오신 것을 환영합니다! 우리는 숙련된 사이버 보안 애호가와 윤리적 해커들이 우리 시스템의 보안을 강화하는 데 함께할 수 있기를 기대합니다. 이 프로그램은 여러분의 전문 지식과 창의성을 활용하여 우리의 디지털 인프라 내의 취약점을 식별할 수 있는 기회를 제공합니다. 참여함으로써 우리의 보안 태세를 강화하는 데 기여할 뿐만 아니라, 사용자 데이터의 프라이버시와 무결성을 보호하는 데 중요한 역할을 하게 됩니다. 더 안전한 디지털 환경을 만들기 위한 우리의 사명에 동참하여 함께 버그를 제거하고 방어를 강화해 나갑시다.
Scope
이 범위 섹션에 해당하는 도메인에 대한 발견만 보상 대상이 됩니다. 또한, 이전에 보고되어 추적된 발견은 보상 대상에서 제외됩니다.
https://qa.wandb.ai
https://api.qa.wandb.ai
그 외의 모든 하위 도메인은 범위에서 제외됩니다.
Scope exclusions
- 서비스 거부 공격(특히, 행동을 한 사람만 서비스가 거부되는 자기 DoS 문제)
- 직접적인 보안 영향이 없는 속도 제한 우회
- 이메일을 보내지 않는 도메인에서
- DKIM/DMARC/SPF DNS 레코드 누락
- 민감한 행동이 없는 페이지에서의 클릭재킹
- 인증 토큰을 임의의 도메인으로 보내는 것과 같은 직접적인 보안 영향이 없는 경우를 제외한 오픈 리디렉트
- 인증되지 않은 양식이나 민감한 행동이 없는 양식에서의 사이트 간 요청 위조(CSRF)
- 사용자의 장치에 대한 MITM(중간자 공격)이나 물리적 접근이 필요한 공격 작동하는 개념 증명이 없는, 이미 알려진 취약한 라이브러리
- SSL/TLS 구성에서의 모범 사례 누락
- 공격 벡터를 보여주지 않거나 HTML/CSS를 수정할 수 없는 콘텐츠 스푸핑 및 텍스트 삽입 문제
- 소프트웨어 버전 노출
- 끊어진 링크 하이재킹
Rules of engagement
다음 조건을 충족하는 품질 보고서만 접수하고 대응합니다:
- 명확하고 재현 가능한 단계가 포함된 문제의 상세 설명
- 개념 증명을 보여주는 스크린샷 및/또는 동영상
- 취약점의 영향
보안 팀에 이메일을 보낼 때 제목에 “버그 바운티 프로그램 공개: [취약점]”을 포함하세요.
테스트 시 User-Agent 문자열로 “bugbountyresearcher_<your_username>”을 사용하세요.
테스트를 위한 전용 계정을 생성하고, 보고서에 해당 계정의 이메일/사용자 이름을 포함하세요.
자신의 계정에 대해서만 테스트를 수행하세요.
개인 정보 침해, 데이터 파괴 또는 서비스 저하를 피하기 위해 성실히 노력하세요.
Non-disclosure
Weights & Biases에 취약점을 보고하는 개인은 비밀유지계약(NDA)에 서명해야 합니다. Weights & Biases 보안 팀이 서명할 NDA를 제공할 것입니다.
Program policies
- 자동화된 취약점 스캐너/도구를 사용하지 마세요.
- 개념 증명을 넘어 취약점을 악용하지 마세요.
- 서비스 거부 공격이나 무차별 대입 공격을 수행하지 마세요.
- 직원이나 최종 사용자에 대한 공격(소셜 엔지니어링 및 피싱 공격 포함)을 수행하지 마세요.
- 테스트 중에 테스트 데이터가 제3자 인프라를 통해 전달되지 않도록 하세요. 모든 트래픽이 여러분이 제어할 수 있는 도메인만을 통해 전달되도록 하세요. 취약점 및 민감한 데이터 노출은 보상 전액 몰수로 이어질 수 있습니다.
- 사전에 팀의 서면 승인을 받지 않고 이 플랫폼에서 발견된 취약점을 공개하거나 논의하지 마세요. 무단 공개는 참여 규칙 위반으로 간주됩니다.
- 연구 중 자신의 것이 아닌 사용자 정보를 발견하면 즉시 중단하고 이를 팀에 보고하여 조사를 진행할 수 있도록 하세요. 이 데이터를 저장, 복사, 전송하거나 다른 방식으로 사용하지 마세요. 다른 사람의 데이터에 계속 접근하는 것은 참여 규칙 위반으로 간주될 수 있습니다.
Sanctioned countries or entities
프로그램에 참여하는 개인은 미국이 수출 제재나 기타 무역 제한을 부과한 국가(예: 쿠바, 이란, 북한, 시리아, 크림반도 또는 미국 재무부 해외자산통제국(OFAC)이 지정한 기타 관할 구역이나 지역)의 거주자이거나 해당 국가에서 제출을 할 수 없습니다.
Age restrictions
취약점을 제출하고자 하는 연구자는 최소 16세 이상이어야 합니다. 만약 16세 이상이지만 거주지에서 미성년자로 간주되는 경우, 참여하기 전에 부모나 법적 보호자의 허락을 받아야 합니다.
Report a bug
취약점은 security@wandb.com으로 보고해 주세요.
보안 팀에 이메일을 보낼 때 제목에 “버그 바운티 프로그램 공개: [취약점]”을 포함하세요.
추가적인 보고 세부사항은 참여 규칙을 참조하세요.
Tiers
보상은 다음과 같은 등급으로 분류됩니다:
- **3등급: 낮은 심각도의 버그 ($50-$100)**
– Self-XSS(탐색 외의 상호작용이 필요한 XSS)
– 서버 구성 오류 또는 프로비저닝 오류
– Weights & Biases 보안 팀이 낮은 심각도로 판단한 기타 문제 - **2등급: 중간 심각도의 버그 ($100-$300)**
– 회원만 접근 가능한 페이지에서의 XSS
– 민감한 작업이나 기능에 대한 사이트 간 요청 위조(CSRF/XSRF)
– Weights & Biases 보안 팀이 중간 심각도로 판단한 기타 문제 - **1등급: 높은 심각도의 버그 ($300-$750)**
– 로그인 없이 접근 가능한 페이지에서의 XSS
– 세션 하이재킹
– 회원 데이터 유출 - **0등급: 치명적인 심각도의 버그 ($750-$1000)**
– SQL 인젝션
– 원격 코드 실행
– 권한 상승
– 내부 서비스로의 SSRF(Server-Side Request Forgery)
Request security info
Subprocessors
이 하위 처리자 페이지에 변경 사항이 있을 때 알림을 받고 싶다면, 표 아래에 있는 양식을 작성해 주세요.
| Company | Location | Additional Details |
|---|---|---|
| AWS | United States or as chosen by the customer | Cloud Hosting Provider- IaaS |
| Azure | United States or as chosen by the customer | Cloud Hosting Provider- IaaS |
| GCP | United States or as chosen by the customer | Cloud Hosting Provider- IaaS |
| Clickhouse | United States | Data Hosting Provider for Weave |
| Census | United States | Data ETL |
| Datadog | United States or as chosen by the customer | Platform monitoring |
| dbt Labs | United States | Data ETL |
| FullStory | United States or as chosen by the customer | Session Recording |
| Hex | United States | Analytics Platform |
| Segment | United States | Analytics Platform |
| Tableau | United States | Analytics Platform |