Qt의 보안

Qt의 보안은 Qt 그룹과 Qt 프로젝트가 만들고 유지 관리하는 인프라에 의존합니다. 이 인프라에는 개발, 테스트 및 빌드 환경이 포함됩니다. 예를 들어, 코드 리뷰 프로세스, 정적 분석기 및 퍼징 도구를 사용한 테스트 프로세스, 타사 구성 요소 테스트, 각 릴리스에 대한 추가 안티바이러스 테스트가 확립되어 있습니다. Qt에는 보안 취약점을 처리하기 위한 프로세스도 확립되어 있습니다.

Qt 프로젝트 보안 정책

Qt 프로젝트는 QUIP 15에 보안 정책을 명시하고 있습니다. 보안 정책의 요약입니다:

• Qt에는 보안 정책을 시행하고 문제를 해결하는 Qt Core 보안 팀이 있습니다.
• 코드 리뷰, 코드 분석, 퍼즈 테스트 등 보안 문제를 예방하기 위한 사전 조치.
• 보안 문제 보고: 코어 보안 팀은 Qt 모듈과 영향을 받는 서드파티 컴포넌트의 보안 문제를 모니터링합니다.
• 보안 이슈 처리: 유지관리자, 코어 보안 팀, 수석 유지관리자, Qt 회사가 보안 이슈를 공유하고 처리합니다.
• 확인된 보안 이슈는 공통 취약점 및 노출 데이터베이스에 공개하고 Qt announce@qt-project.org 메일링 리스트에 공개 발표합니다.

보안 문제 보고하기

Qt 제품의 보안 문제를 보고하려면 보안 메일 리스트( security@qt-project.org)로 이메일을 보내주십시오 . 핵심 보안 팀은 영업일(주말 제외)에 수신되는 이메일을 모니터링하고 검토합니다. 보안 메일 목록으로 이메일을 보내면 영업일 기준 2일 이내에 수신 확인을 받게 됩니다. 응답이 없는 경우, 보고자는 최고 관리자에게 직접 연락해야 합니다.

웹사이트나 Qt 계정과 같은 Qt 회사 서비스에 관한 문제를 보고하려면 security@qt.io 으로 이메일을 보내주십시오 .

Qt 그룹 상업적 보안 계약

상용 라이선스 사용자의 경우, 지원 포털의 보안 문제 카테고리를 사용하여 Qt Company 지원 팀에 문제를 보고하십시오. 이슈가 보안 메일 목록으로 전달되면 보고자에게 확인 메일이 전송됩니다.

자세한 내용은 책임 있는 취약점 공개 계약 페이지를 참조하십시오.

소프트웨어 자재 명세서(SBOM)

Qt 6.8부터는 설치된 Qt 모듈, 패키지 및 서드 파티 컴포넌트에 대한 정보가 SPDX 형식으로 포함된 소프트웨어 자재 명세서(SBOM) 문서가 Qt 설치에 포함됩니다. SBOM 파일을 통해 사용자는 취약성 관리 및 라이선스 준수를 위해 Qt 설치 패키지를 추적할 수 있습니다.

• 소프트웨어 자재 명세서
• SPDX 포맷 개요

신뢰할 수 없는 데이터

여러 Qt 모듈이 사용자 입력 및 실행 리소스와 같은 데이터를 처리합니다. Qt는 애플리케이션 개발자가 신뢰할 수 없는 데이터를 적절히 처리할 것을 기대합니다. 애플리케이션이 처리하기 전에 Qt API가 신뢰할 수 없는 데이터를 가져와서 처리하는 경우, Qt는 이 API를 보안이 중요한 것으로 간주합니다. 보안이 중요한 API는 개발 과정에서 추가적인 조사와 테스트를 거칩니다.

일반적으로 알 수 없는 출처의 처리되지 않은 데이터는 가능하면 피하고 데이터를 처리할 때는 안전 절차를 수행해야 합니다. Qt는 사용자 입력에 대한 유효성 검사기와 같은 데이터 처리를 위한 여러 메커니즘을 제공합니다.

자세한 내용은 신뢰할 수 없는 데이터 처리하기를 참조하십시오.

권한

Qt 6.5는 권한 처리를 위한 크로스 플랫폼 권한 API를 도입했습니다. 권한 API는 연락처 목록, 캘린더, 카메라 및 마이크와 같은 사용자 관련 개인 데이터 및 하드웨어를 위한 것입니다.

자세한 내용은 애플리케이션 권한을 참조하세요.