Python Software Foundation이 PEP 811을 통해 Python Security Response Team의 공개 거버넌스 구조를 수립해 보안 지속성 확보

Context

Python 보안 취약점 대응은 자발적 기여자들과 PSF 직원으로 구성된 PSRT에 의존했으나, 팀의 지속성과 확장성을 보장할 공식적인 거버넌스 구조가 부재했다. 멤버십 요건, 책임 사항, 온보딩 프로세스가 정의되지 않아 조직의 투명성과 신뢰성이 제한되었다.

Technical Solution

• PEP 811 거버넌스 문서 발행: 공개 멤버 목록 공개, 멤버 및 관리자의 책임 사항 문서화
• 온보딩/오프보딩 프로세스 정의: 보안과 지속성의 균형을 맞추기 위한 명확한 가입/탈퇴 절차 수립
• Python Steering Council과의 관계 명확화: PSRT와 상위 거버넌스 기구 간 권한 및 역할 정의
• 멤버십 투표 제도 도입: 기존 PSRT 멤버의 ⅔ 이상 찬성으로 신규 멤버 승인하는 투명한 선발 체계
• 기여자 기록 워크플로우 개선: GitHub Security Advisories를 활용해 취약점 보고자, 코디네이터, 개발자, 검토자를 CVE 및 OSV 레코드에 기록

Impact

지난 1년간 PSRT가 CPython 및 pip에 대해 16개의 취약점 공지사항 발행했으며, 이는 단일 연도 최다 기록이다. Jacob Coffee가 2023년 Seth Larson 이후 첫 번째 Release Manager 이외의 신규 멤버로 합류했다.

Key Takeaway

오픈소스 보안 조직의 지속성은 공개된 거버넌스 구조와 명확한 책임 분담으로 확보된다. 기여자를 CVE/OSV 레코드에 공식 기록하는 것은 무명의 보안 기여자들을 인정하는 메커니즘으로 작동한다.