Vercel 오픈소스 버그 Bounty 프로그램 출시

보안은 Vercel 에서 구축하는 모든 것의 기초입니다. 저희의 오픈소스 프로젝트는 웹 전반에 걸쳐 수백만 개의 애플리케이션을 구동하며, 작은 사이드 프로젝트부터 Fortune 500 기업의 까다로운 프로덕션 워크로드까지 다양한 곳에서 활용되고 있습니다. 이러한 책임감은 플랫폼과 더 넓은 생태계 안에서의 보안 투자를 지속해 나가게 하는 동력이 됩니다. 오늘 저희는 . 에서 Vercel 오픈소스 소프트웨어 (OSS) 버그 Bounty 프로그램을 공개합니다. 전 세계의 보안 연구자분들에게 취약점을 찾아내고, 가정들을 도전하며, 이러한 도구로 개발하는 모든 분들의 리스크를 줄여주도록 초대합니다.

HackerOne 을 통해 2025 년 8 월 이후 저희 오픈소스 소프트웨어에 대해 소수의 연구자 그룹과 함께 사적인 버그 Bounty 프로그램을 운영해 왔습니다. 해당 프로그램은 Tier 1 프로젝트 전반에 걸쳐 고위험도 보고서를 여러 건 생성하여, 트라이지 (triage), 패치, 조정된 공개 (coordinated disclosure), CVE 공표 프로세스를 개선하는 데 기여했습니다. 이제 우리는 확장 준비가 되었습니다.

올해 가을에는 와 React2Shell 취약점 클래스에 초점을 맞춘 버그 Bounty 프로그램을 오픈했습니다. 공격자가 이를 악용하는 사례가 야간에 나타나는 것을 기다리는 대신, 연구자들에게 보상을 주어 먼저 찾아내는 적극적 접근 방식을 취했습니다. 웹 애플리케이션 방화벽 (Web Application Firewall) 프로그램은 수십 명의 연구자들이 공격자가 취약점을 발견하기 전에 저희에게 찾아내고 수정하도록 도와준 덕분에 100 만 달러 이상의 보상을 지급했습니다.

교훈은 명확했습니다. 좋은 인센티브와 명확한 소통은 연구자를 적대자가 아닌 파트너로 변화시킵니다. 사적인 OSS 버그 Bounty 프로그램을 공개하는 것은 자연스러운 다음 단계입니다. 이러한 프로젝트의 보안 취약점은 Vercel 에만 영향을 미치는 것이 아니라, 이러한 도구로 개발하는 모든 분에게 영향을 미칩니다. 이를 찾아내고 수정하는 것은 수백만 명의 최종 사용자를 보호합니다.

모든 Vercel 오픈소스 프로젝트가 포함됩니다. 아래에 나열된 프로젝트들은 Vercel 오픈소스 생태계의 핵심을 구성합니다. 이는 매일 수백만 명의 개발자가 의존하는 프레임워크, 라이브러리 및 도구들입니다. 또한 취약점이 가장 큰 영향을 미칠 가능성이 높은 프로젝트들로, 저희는 사고 대응 (incident response), 취약점 관리, CVE 공표에 우선순위를 둡니다.

보안 연구자이시며 사냥을 시작하시려면 방문하여 필요한 모든 정보를 확인하세요: 범위 세부 사항, 보상 범위, 제출 가이드라인 등. HackerOne 을 통해 취약점을 발견하시면 명확한 재현 단계를 포함하여 제출해 주세요. 보안 팀은 모든 제출물을 검토하며 공개 프로세스를 통해 연구자와 직접 협력합니다. 저희는 빠른 응답 시간과 투명한 소통에 최선을 다하고 있습니다. 코드를 깊이 파고들고 책임감 있게 문제를 보고해 주시는 연구자분들에게 감사드립니다. 여러분의 노력이 이러한 프로젝트들을 더 안전하게 만듭니다.

또는 . 버그 Bounty 프로그램에 참여하세요 Vercel 의 보안에 대해 자세히 알아보기 더 읽기

보안 투자 기반을 구축하여 확장하는 것 어떤 프로젝트가 포함되는가 HackerOne 프로그램에 포함된 핵심 프로젝트 프로젝트 설명 Next.js 프로덕션 웹 애플리케이션을 위한 React 프레임워크 Nuxt 현대 웹 개발을 위한 Vue.js 프레임워크 SWR React Hooks 라이브러리 f