🟠[P1] fix(docs): missing SECURITY.md — no vulnerability disclosure policy

[teddylee777]

컨텍스트 블록

Key	Value
Category	documentation
Checklist	ISS-DOC-02 — Missing SECURITY.md with vulnerability disclosure policy
Priority	P1 🟠
Scan Date	2026-04-16
Flagged By	@doc-explorer

요약

• WHAT: 저장소 루트 또는 .github/에 SECURITY.md 파일 없음 — 외부 연구자가 취약점을 발견했을 때 비공개로 보고할 경로가 정의되지 않음
• WHY: GitHub Security Advisories 기능 활성화 및 PGP/이메일 연락처 제공이 OSS 보안의 표준. NextAuth + 5 auth 모드로 보안 노출면이 넓은 프로젝트에는 필수
• WHERE: 저장소 루트 (신규 파일 생성 필요)
• SEVERITY: HIGH — 책임 공시 채널 부재는 제로데이 공개 노출 위험

Evidence

#	File	Line	Finding	Flagged By	Confidence
1	SECURITY.md	—	루트 디렉토리에 파일 없음	@doc-explorer	High
2	.github/SECURITY.md	—	.github/ 디렉토리에도 없음	@doc-explorer	High
3	기존 이슈 트래커	—	기존에 보고된 취약점(#57, #58, #59, #64)은 모두 public 이슈로 공개 — 비공개 경로가 없어 공개 외 선택지가 없음	@doc-explorer	Medium

영향 분석

영향 범위

• 외부 보안 연구자, Bug Bounty 플랫폼 사용자
• 공식 출시(v1.0) 전 감사(audit) 프로세스
• 엔터프라이즈 채택 검토 시 보안 성숙도 평가 항목

장애 시나리오

1. 보안 연구자가 심각한 취약점(예: RCE, 인증 우회) 발견
2. 비공개 보고 경로 없음 → public 이슈로 공개 (제로데이)
3. 패치 배포 전에 실제 공격 발생, 사용자 피해
4. 책임 공시(responsible disclosure) 전통 미준수로 OSS 커뮤니티 신뢰 하락

긴급도

• 현 시점 심각 취약점 제보 가능성이 존재하는 한 항상 리스크
• 기존 보안 이슈(🟠[P1] fix(security): SSRF prevention incomplete — admin URL bypass and IPv6 gap #57-64)가 9건 — 보안 노출면이 실제로 있음이 확인됨

제안 해결 방안

접근 방법

저장소 루트 또는 .github/에 SECURITY.md 생성. 최소 포함 항목:

# Security Policy

## Supported Versions

| Version | Supported |
| ------- | --------- |
| 1.x     | ✅        |
| < 1.0   | ❌        |

## Reporting a Vulnerability

**Please do NOT create a public GitHub issue for security vulnerabilities.**

To report a vulnerability privately:

1. **GitHub Security Advisories (preferred)**: Use the [Security tab](https://github.com/teddynote-lab/langgraph-chat-ui/security/advisories/new) to open a private advisory.
2. **Email**: Send details to `security@brain-crew.com` (PGP key available on request).

We will acknowledge receipt within 3 business days and aim to provide an initial assessment within 7 days.

## Disclosure Policy

- We follow a 90-day coordinated disclosure timeline.
- Credit will be given to reporters in release notes unless anonymity is requested.
- We do not operate a formal bug bounty program at this time.

## Scope

In scope:
- All code in this repository
- Default Docker images published by this project
- Reference configurations in `examples/`

Out of scope:
- Self-modified forks
- Third-party dependencies (report to upstream)
- Infrastructure of individual deployments

GitHub Security Advisories 기능도 저장소 설정에서 활성화 (Settings → Security).

대안

• README 보안 섹션만 보강: README.md에 보고 경로 추가 → GitHub UI가 SECURITY.md 있을 때 자동 linking을 수행하므로 별도 파일이 우수
• bug bounty 플랫폼 이용: HackerOne/Huntr 등록 → 유료, OSS 프로젝트 규모에 과잉

수용 기준

• SECURITY.md (또는 .github/SECURITY.md) 생성 및 커밋
• 저장소 Settings → Security → Private vulnerability reporting 활성화
• README에 SECURITY.md로의 링크 추가 ("## Security" 섹션)
• 한국어 번역 버전(SECURITY.ko.md) — 선택이지만 bilingual 프로젝트 관례 유지
• 테스트 커맨드: GitHub UI에서 "Report a vulnerability" 버튼 노출 확인

참조

• 관련 파일: SECURITY.md (신규), README.md, docs/
• Checklist 항목: ISS-DOC-02
• 관련 이슈: 🟠[P1] fix(security): SSRF prevention incomplete — admin URL bypass and IPv6 gap #57, 🟠[P1] fix(security): NEXT_PUBLIC_LANGCHAIN_API_KEY exposed to browser bundle #58, 🟠[P1] fix(security): no rate limiting on authentication endpoints #59, 🟠[P1] fix(security): CSP only covers frame-ancestors, no script-src policy #64 — 기존 보안 관련 이슈들의 비공개 보고 경로 부재 배경

재현 방법

사전 조건

• 공개 저장소 방문

단계

1. GitHub 저장소 방문
2. Security 탭 확인
3. "Report a vulnerability" 링크 확인

기대 결과

Private vulnerability reporting 활성화 메시지와 함께 폼 노출

실제 결과

"Security policy not found" 또는 기능 비활성화 상태

관련 코드 컨텍스트

File	Role	Relevance
SECURITY.md	보안 정책 (신규)	생성 대상
README.md	프로젝트 엔트리 문서	Security 섹션 링크 추가
docs/00-OVERVIEW.md	전체 개요	보안 참조 추가 검토

---

Detected by oh-my-braincrew `omb:issue` scan
Category: documentation | Scan date: 2026-04-16
`omb-issue-scan category=documentation checklist=ISS-DOC-02`