Forgejo, RCE 취약점 공개로 보안 논란!

발견자는 Forgejo 코드베이스에서 SSRF(Server-Side Request Forgery), CSP(Content Security Policy) 부재, 취약한 암호화 방식(Cryptographic Malpractices), 인증 메커니즘(Authentication Mechanisms)의 문제점 등 다수의 취약점을 발견했다. 특히, 오픈 등록 설정 시 RCE가 발생할 수 있으며, 이는 코드 품질(Code Quality)에 대한 심각한 우려를 제기한다. 발견자는 PoC를 공개하여 문제 해결을 촉구했다.

취약점 발견자는 Forgejo의 공식적인 취약점 공개 절차(Vulnerability Disclosure Process)를 따르지 않고, PoC를 공개하는 'Carrot Disclosure' 방식을 선택했다. 이는 취약점 공개 정책의 복잡성 및 비효율성에 대한 불만을 반영한 것으로 보인다. 보안 취약점(Security Vulnerabilities) 공개 방식에 대한 커뮤니티의 다양한 의견이 존재하며, 책임 있는 공개에 대한 중요성이 강조된다.

커뮤니티에서는 Forgejo 코드의 감사 가능성에 대해 긍정적으로 평가하며, 오픈 소스(Open Source)의 장점을 강조했다. 하지만, GitHub EE(Enterprise Edition) 코드의 가독성 저하에 대한 우려도 제기되었다. 특히, GitHub의 보안 권고(Security Advisories)와 유사한 기능을 통해 보안 취약점을 효율적으로 관리할 필요성이 제기되었다. 코드 품질(Code Quality) 유지를 위한 지속적인 노력이 필요하다.

GitHub EE 코드의 분석을 통해, GitHub의 보안 취약점 관리 방식에 대한 관심이 높아지고 있다. GitHub EE 이미지(GitHub EE Images)를 통해 소스 코드에 접근할 수 있지만, 코드 난독화(Code Obfuscation)로 인해 분석의 어려움이 존재한다. Forgejo의 취약점 공개 정책(Vulnerability Disclosure Policy) 개선을 통해, 보안 취약점 보고 및 해결 과정을 간소화할 필요가 있다.