English SECURITY

얽힘 라이브러리(EntanglementLib)는 "군사적 수준의 보안"과 "완벽한 데이터 소거(Anti-Data Remanence)"를 핵심 철학으로 삼고 있습니다. 우리는 여러분의 보안 취약점 제보를 매우 중요하게 생각하며, 발견된 문제는 최우선 순위로 처리됩니다.

현재 얽힘 라이브러리는 Alpha 단계입니다. 최신 개발 버전(Latest)에 대한 보안 업데이트가 가장 먼저 적용됩니다.

얽힘 라이브러리에서 보안 취약점이나 민감한 데이터 잔류 문제를 발견하셨다면, 절대 GitHub Issue에 공개적으로 게시하지 마세요! 대신 아래 절차에 따라 비공개로 제보해 주시기를 부탁드립니다.

1. 이메일 qtfelix@qu4nt.space로 저에게 직접 연락하세요.
2. 메일 제목에 [SECURITY] EntanglementLib Vulnerability Report [GITHUB USERNAME]를 포함해 주세요.
3. 가능하다면 아래의 정보를 포함해 주세요.
   • 취약점의 유형 (타이밍 문제, 메모리 덤프 시 키 잔류, FFI 경계 검사 우회, PQC 알고리즘 구현 오류 등)
   • 재현 방법 (PoC 코드 또는 단계별 설명)
   • 영향을 받는 버전 및 환경 (OS, Java 버전 등)

제보된 취약점은 다음과 같은 절차로 처리됩니다.

1. 접수 확인: 48시간 이내에 제보자에게 접수 확인 메일을 발송합니다.
2. 분석 및 검증: 퀀트 팀 내부에서 취약점의 영향도와 재현 가능성을 세밀히 분석합니다.
3. 패치 개발: 문제가 확인되면 entlib-native 또는 entanglementlib의 핫픽스를 개발합니다.
4. 공개 및 배포: 패치가 완료되고 릴리즈된 후, 제보자와 협의하여 적절한 시점에 취약점 정보를 공개(Disclosure)합니다.

우리는 특히 다음 영역에 대한 제보를 환영합니다.

• 메모리 안전성 위배: SensitiveDataContainer#close() 호출 이후에도 힙 덤프나 메모리 스냅샷에서 민감 데이터가 발견되는 경우
• FFI 경계 검사 실패: entlib-native 호출 시 잘못된 포인터 접근이나 크래시를 유발할 수 있는 경우
• 암호화 구현 결함: NIST 표준(FIPS 203, 204, 205)과 다른 PQC 알고리즘 동작 또는 고전 알고리즘의 nonce 재사용 문제

다음 항목들은 일반적으로 보안 취약점 보고 대상에서 제외되지만, 심각한 경우 검토될 수 있습니다.

• 사용자의 환경 설정 오류(예로, ENTLIB_NATIVE_BIN 경로 권한 설정 미흡 등)로 인한 문제
• 이미 공개된 외부 라이브러리 자체의 취약점 (단, 얽힘 라이브러리의 오용으로 인한 문제는 포함)
• 소셜 엔지니어링 또는 물리적 공격

해당 문제가 취약점으로 확인되면 보안 권고사항을 발표하고 당신의 기여를 기여자 목록에 포함시키겠습니다. 원하시는 경우, 기여자 목록에 당신의 성함과 연락처 정보를 기재할 수도 있습니다.

얽힘 라이브러리의 보안을 강화하는 데 기여해 주신 모든 보안 연구원 및 개발자분들께 미리 감사의 말씀을 전합니다.