CircleCI 보안
CircleCI의 최우선 관심사는 사용자의 지적 재산과 키, 토큰,
자격 증명과 같은 민감한 기밀 정보를 보호하는 것입니다.
규정 준수 및 승인

SOC 2 Type II 규정 준수는 미국 공인 회계사 협회(AICPA)의 서비스 조직 통제(Service Organization Control) 보고 플랫폼의 구성 요소입니다.
제품 보안 기능
귀사에 필요한 규정 준수, 보안 및 감사 로그 기능을 제공합니다. CircleCI 컴퓨팅 및 자체 호스팅 러너를 사용할 수 있는 옵션이 포함된 클라우드 호스팅 서비스를 선택하거나, CircleCI의 인스턴스를 귀사의 자체 인프라 전반에 걸쳐 실행할 수 있습니다.
-
소스 코드 보안
소스 코드에 액세스하기 위한 VCS와의 통신은 항상 SSH 및/또는 HTTPS를 사용해 암호화됩니다.
-
Config policies
Enforce organizational compliance and standardization across projects.
-
환경 변수(기밀)
환경 변수를 사용하여 CircleCI의 기밀 및 기타 중요한 데이터를 보호합니다.
-
OpenID Connect
CircleCI는 작업 수준에서 OpenID Connect를 통한 인증을 지원합니다.
-
제한된 컨텍스트
제한된 컨텍스트를 사용하면 특정 사용자 그룹에 대한 액세스를 제한하면서 여러 프로젝트 간에 환경 변수를 암호화하여 저장하고 공유할 수 있습니다.
-
감사 로깅
감사 로그를 사용하여 이상 징후를 모니터링하고, 포렌식을 지원하고, 규정 준수를 입증합니다.
-
런타임 격리
CircleCI는 각 사용 후 손상되는 격리된 샌드박스에서 모든 빌드를 실행합니다.
-
콘솔 출력 및 아티팩트
암호화는 SSH 및/또는 HTTPS를 사용해 콘솔 출력과 아티팩트에 모두 사용됩니다. 둘 모두 리포지토리에 대한 읽기 액세스 권한이 있는 사용자만 이용할 수 있습니다.
-
2단계 인증
CircleCI는 타사 VCS 제공자에 설정된 2FA 인증을 상속합니다.
Compliance & Certifications
SOC 2 Type II는 CircleCI에 업계 표준을 준수할 수 있는 기회를 제공하고, 고객에게 업계에서 인정받는 표준화된 보고서에 액세스에 할 수 있는 조직 권한을 줍니다. 이 보고서는 업계 내 여러 서비스 간에 비교할 수 있습니다. SOC 2 Type II를 준수한다는 것은 CircleCI가 위험을 줄이는 데 필요한 절차와 보안 정책을 시행 및 준수하고, 해당 프로세스를 요청하고 감사할 수 있다는 것을 의미합니다. 다음 웹사이트에서 SOC 2 Type II에 대해 자세히 알아보세요. https://www.aicpa.org/.
FedRAMP Tailored 지정은 CircleCI가 미국 정부 데이터 보안 표준을 준수하고 미국 정부 기관 내에서 사용할 수 있도록 승인되었다는 것을 의미합니다. 다음 웹사이트에서 FedRAMP 인증에 대해 자세히 알아보세요. https://www.fedramp.gov/.
이 인증은 CircleCI가 EU-미국 및 스위스-미국 Privacy Shield 프레임워크에 따라 미국, EU 및 스위스의 모든 데이터 전송 보안 표준을 준수하도록 보장합니다. 다음 웹사이트에서 Privacy Shield에 대해 자세히 알아보세요. https://www.privacyshield.gov/welcome.
CircleCI는 Chargify, Stripe, Zuora의 PCI 규정 준수를 활용합니다.
CircleCI는 Cloud Security Alliance에서 규정한 클라우드 데이터 보안에 대한 엄격한 표준을 충족하는 보안 통제를 문서화했습니다. 다음 웹사이트에서 CircleCI의 Star Registry 답변 사본을 다운로드하세요. https://cloudsecurityalliance.org/.
Business Practices
모든 CircleCI 직원과 계약자는 신원 조회를 통과하고 기밀유지 계약에 서명해야 합니다.
CircleCI의 모든 신입 직원은 보안 모범 사례를 다루는 과정에 참석해야 합니다.
엔지니어는 추가 기술 보안 워크샵에 참석해야 합니다.
CircleCI는 보안 관리 팀에서 관리하고 전달하는 다양한 보안 정책을 보유하고 있습니다.
CircleCI의 모든 파트너와 타사 공급업체는 보안 설문지를 작성해야 합니다. PII를 취급하는 파트너와 공급업체도 데이터 처리 부록에 서명해야 합니다.
CircleCI는 CircleCI가 보안 취약점을 식별하는 데 도움을 준 사람들이 등재된 보안 명예의 전당을 운영합니다. 보안 우려 사항 신고
CircleCI는 전담 사고 대응 팀을 운영합니다.
CircleCI는 중요한 상황에서 의사 결정을 내리기 위해 사고 대응 정책 및 실행 지침서를 관리합니다.
네트워크 및 보안 사고는 https://status.circleci.com/에 게시되어 있습니다.
Physical Security
CircleCI 본사에서는 24시간 출입문을 관리하는 보안 직원을 고용하고 있으며 출입을 위해 상시적으로 배지가 필요합니다. 방문객은 언제나 서명 후 관리자의 안내를 받아 입장해야 합니다.
덴버, 토론토, 보스턴, 일본, 런던에 있는 CircleCI의 원격 사무소에는 샌프란시스코 본사와 유사한 물리적 보안 통제 시스템이 구현되어 있습니다.
CircleCI는 Linux 플릿에 Amazon Web Services를, 보조 컴퓨팅에 Google Cloud Platform을 사용합니다. 두 공급업체 모두 보안 및 개인 정보 보호 분야에서 업계 리더입니다.
CircleCI는 밀워키의 Milwaukee Colo 데이터센터에 있는 macOS 플릿을 소유 및 운영하고 있습니다. CircleCI 직원은 시스템에 물리적으로 액세스할 수 없으며 모든 관리는 원격으로 수행됩니다. 시스템 프로비저닝, 업데이트 또는 디프로비저닝에 액세스할 수 있는 사람은 데이터센터 엔지니어로 제한됩니다. 연방 규제당국은 2019년에 시설의 보안, 가용성, 무결성을 평가하기 위해 종일 현장 감사를 완료했습니다. 다양한 배지, 액세스 로깅 및 기타 보안 통제 시스템이 구축되어 있으며, 이러한 모든 사항은 SOC 2 Type II 준수에 따라 감사 및 승인되었습니다.
Network & Data Security
CircleCI는 소프트웨어 개발 CI/CD 프로세스에서 도커 중심 취약성 검사 도구를 실행합니다. CircleCI 클라우드 서비스의 패칭 타임라인:
심각 - 14~30일 | 높음 - 14~30일 | 중간 - 45~90일 | 낮음 - 90~180일. 월간 검사는 진행 중인 FedRAMP 규정 준수의 일환으로 연방 당국에 제출됩니다.
CircleCI는 애플리케이션 이벤트, 시스템 이벤트, 하드웨어 이벤트, 물리적 액세스를 제어하는 공식적인 감사 정책을 보유합니다. 여기에는 어떤 이벤트가 언제 어디에서 발생했는지와 이벤트 소스, 이벤트 개체, 이벤트 결과 및 관련자에 대한 정보가 포함됩니다.
CircleCI의 아키텍처는 DMZ, 요새 호스트, iptables를 포함한 여러 계층의 데이터 보안으로 구성됩니다.
CircleCI의 사이트 안정성, 지원 및 엔지니어링 팀이 연중무휴 지원을 위해 전 세계에 배치되어 있습니다.
CircleCI는 각 사용 후 손상되는 격리된 샌드박스에서 모든 빌드를 실행합니다.
전송 중인 모든 데이터는 TLS 및 SSH를 통해 암호화됩니다.
환경 변수는 유휴 및 전송 중인 상태에서 암호화되며 작업을 시작할 때 런타임 환경에 주입됩니다. 키, 토큰 및 기타 자격 증명과 같은 모든 중요한 기밀은 CircleCI 내에 환경 변수로 저장되어야 합니다.
소스 코드는 전송 중 상태에서 TLS 및 SSH를 통해 항상 암호화되지만, 유휴 상태에서는 암호화되지 않습니다. 유휴 상태의 소스 코드는 DMZ, 요새 호스트, iptables와 같은 여러 계층의 아키텍처 보안을 통해 보호됩니다.
CircleCI는 일반적인 업계 타임라인 내에서 복원 기능을 필요로 하는 데이터 백업 및 스냅샷 정책을 보유합니다.
Application Security
소프트웨어 개발 주기 정책은 전달, 검토, 병합 프로세스를 명령하여 롤백, 다운타임, 디자인 결함, 보안 사고를 최소화합니다.
CircleCI는 사이트 안정성 엔지니어 팀을 통해 CircleCI 애플리케이션 보안 계층을 일관되게 유지합니다.
CircleCI의 웹 애플리케이션은 주입, 손상된 인증 및 세션 관리, 사이트 간 스크립팅(XSS), 안전하지 않은 직접 객체 참조, 누락된 기능 수준 액세스 제어, 사이트 간 요청 위조(CSRF), 검증되지 않은 리디렉션 및 전달과 같은 OWASP Top 10 문제를 감수할 수 있도록 설계되었습니다.
타사 침투 테스터가 CircleCI 애플리케이션, 네트워크, 인프라, 신제품의 취약점을 테스트하기 위해 분기별로 고용됩니다. 범위는 OWASP Top 10부터 신제품 기능의 위협 모델링에 이르기까지 다양합니다.
CircleCI와 관련하여 보안이 걱정되시나요?
다음과 같은 심각한 보안상의 문제가 발견된 경우, 재현 단계 또는 개념 증명을 포함한 관련 세부 정보를 알려주시기 바랍니다.
- 인젝션 취약성
- 인증 또는 세션 문제
- 중요 데이터에 대한 부적절한 엑세스
- 엑세스 제어 손상
- 교차 사이트 스크립팅
- OWASP Top 10 프로젝트에 해당하는 문제
다음과 같은 부류의 버그 및 일반적인 신고에 대해서는 대처하지 않습니다:
- 타사
.circleci/config.yml
의 자격 증명 - 이메일 스푸핑, SPF, DKIM 및 DMARC 오류
취약성이 발견되면, 사용자 데이터를 보호할 수 있도록 조치를 취하시기 바랍니다:
- 최대한 빨리 알려주십시오.
- 테스트는 사용자의 개인 데이터가 아닌 가짜 데이터 및 계정에 대해 이루어집니다 (무료 계정을 사용하기 원하시면 요청하여 주십시오).
- 해당 취약성을 다른 사람에게 공개하기 전에 먼저 본사와 협력하여 해결하여 주십시오.
CircleCI에는 포상금 프로그램이 없습니다.
취약성 발견에 대한 버그 포상금은 제공되지 않습니다. 업무 중 취약성을 발견하였다면 본사와 공유하여, 인터넷 에코시스템의 건전성을 높일 수 있기를 바랍니다.
CircleCI에 보안상의 우려 사항을 알려주십시오.
CircleCI에서 취약성이 발견되었다면 security@circleci.com으로 이메일을 보내 당사 보안팀에 연락해 주십시오.
민감한 문제를 알리는 경우, 보안팀의 GPG 키를 사용하여 메시지를 암호화하여 주십시오 (ID: 0x4013DDA7, 핑거프린트: 3CD2 A48F 2071 61C0 B9B7 1AE2 6170 15B8 4013 DDA7)
Email security@circleci.com