Vercel기술 블로그engineering
Vercel OSS 버그 바운티 프로그램 출시
Vercel이 오픈소스 소프트웨어 버그 바운티 프로그램을 공개하여, 보안 연구자들이 취약점을 발견하고 OSS의 안전성을 높일 수 있도록 합니다
보안은 Vercel이 만드는 모든 것의 근간입니다. Vercel의 오픈소스 프로젝트는 개인 사이드 프로젝트부터 Fortune 500 기업의 대규모 프로덕션 워크로드까지, 웹 전반에서 수백만 개의 애플리케이션을 구동하고 있습니다. 이러한 책임감이 플랫폼과 더 넓은 생태계의 보안에 지속적으로 투자하게 하는 원동력입니다.
오늘, Vercel 오픈소스 소프트웨어(OSS) 버그 바운티 프로그램을 HackerOne에서 공개적으로 운영하기 시작합니다. 전 세계 보안 연구자 여러분을 초대합니다. 취약점을 찾고, 기존 가정에 도전하고, 이 도구들로 개발하는 모든 이의 위험을 줄이는 데 함께해 주세요.
2025년 8월부터 소수의 연구자 그룹과 함께 오픈소스 소프트웨어 대상 비공개 버그 바운티를 운영해 왔습니다. 이 프로그램을 통해 Tier 1 프로젝트에서 여러 건의 고위험 보고서가 접수되었고, 분류(triage), 수정, 협력적 공개, CVE 발행에 이르는 프로세스를 다듬을 수 있었습니다. 이제 범위를 확장할 준비가 되었습니다.
보안 투자의 토대 위에 한 걸음 더
지난 가을, 웹 애플리케이션 방화벽(Web Application Firewall)과 React2Shell 취약점 클래스에 초점을 맞춘 버그 바운티 프로그램을 시작했습니다. 우회 기법이 실제 환경에서 발견되길 기다리는 대신, 보안 연구자들에게 먼저 찾아달라고 요청하는 선제적 접근 방식을 택한 것입니다.
이 프로그램을 통해 수십 명의 연구자에게 총 100만 달러 이상을 지급했으며, 공격자보다 먼저 취약점을 발견하고 수정할 수 있었습니다. 여기서 얻은 교훈은 명확합니다. 적절한 인센티브와 투명한 소통이 연구자들을 적이 아닌 파트너로 만든다는 것입니다.
비공개 OSS 버그 바운티 프로그램을 공개로 전환하는 것은 자연스러운 다음 단계입니다. 이들 프로젝트의 보안 취약점은 Vercel만의 문제가 아니라, 이 도구를 사용하는 모든 사람에게 영향을 미칩니다. 취약점을 찾아 수정하는 것이 곧 수백만 최종 사용자를 보호하는 일입니다.
대상 프로젝트
Vercel의 모든 오픈소스 프로젝트가 범위에 포함됩니다. 아래 목록은 Vercel 오픈소스 생태계의 핵심 프로젝트들로, 수백만 개발자가 매일 의존하는 프레임워크, 라이브러리, 도구입니다.
HackerOne 프로그램에 포함된 핵심 프로젝트
프로젝트 | 설명 |
|---|---|
프로덕션 웹 애플리케이션을 위한 React 프레임워크 | |
모던 웹 개발을 위한 Vue.js 프레임워크 | |
데이터 페칭을 위한 React Hooks 라이브러리 | |
사용자 인터페이스 구축 프레임워크 | |
모노레포를 위한 고성능 빌드 시스템 | |
AI 애플리케이션을 위한 TypeScript 툴킷 | |
Vercel 플랫폼용 커맨드라인 인터페이스 | |
내구성 있는 워크플로 실행 엔진 | |
피처 플래그 SDK | |
밀리초 변환 경량 유틸리티 | |
범용 서버 엔진 | |
비동기 연산용 세마포어 | |
오픈 에이전트 스킬 도구: npx skills |
위 프로젝트들은 취약점 발생 시 파급력이 가장 크기 때문에, 인시던트 대응, 취약점 관리, CVE 발행을 최우선으로 처리하는 대상입니다.
참여 방법
보안 연구자로서 바로 시작하고 싶다면, HackerOne을 방문하세요. 범위 상세 정보, 보상 범위, 제출 가이드라인 등 필요한 모든 내용을 확인할 수 있습니다.
취약점을 발견하면 명확한 재현 단계와 함께 HackerOne을 통해 제출해 주세요. 보안팀이 모든 제출 건을 검토하며, 공개 프로세스 전반에 걸쳐 연구자와 직접 소통합니다. 빠른 응답 시간과 투명한 커뮤니케이션을 약속합니다.
시간을 들여 코드를 분석하고 책임감 있게 이슈를 보고해 주시는 연구자 여러분께 감사드립니다. 여러분의 노력이 이 프로젝트들을 모두에게 더 안전한 곳으로 만듭니다.