脆弱性開示ポリシー | OneSuite

OneSuiteシステムの脆弱性を報告する

はじめに

OneSuiteでは、情報セキュリティが最優先事項であり、当社のシステムとデータの機密性、完全性、および可用性の保護に尽力しています。このポリシーは、セキュリティ研究者に脆弱性研究を実施するための明確なガイドラインを提供し、脆弱性を当社に責任ある方法で報告する方法を説明しています。

本文書は、本ポリシーの対象となるシステムと研究の種類、脆弱性レポートの提出方法、および公開のタイムラインについて規定しています。

当社は、セキュリティ研究者がこのポリシーに記載されているとおりに脆弱性を報告することを奨励します。皆様のご協力により、潜在的な問題に対処し、OneSuiteエコシステムのセキュリティを維持することができます。

認可

このポリシーを誠実に遵守する努力をされた場合、OneSuiteはお客様の研究を認可されたものとみなします。当社は問題を迅速に理解し解決するためにお客様と協力し、お客様の研究に関連する法的措置を推奨または追求しません。

第三者がこのポリシーに従って実施された活動についてお客様に対して法的措置を開始した場合、OneSuiteはこの認可を周知します。

ガイドライン

このポリシーにおいて、「研究」とは以下の活動を指します:

  • 実際のまたは潜在的なセキュリティ問題を発見した後、できるだけ早く当社に通知すること。
  • 定義された範囲内でのみ分析を実施すること。
  • プライバシーの侵害、ユーザー体験の低下、本番システムの中断、およびデータの破壊または操作を回避すること。
  • 脆弱性の存在を確認するために必要な範囲でのみエクスプロイトを使用すること。データの侵害や流出、コマンドラインアクセスの取得、または他のシステムへのピボットにエクスプロイトを使用しないこと。
  • 問題を公開する前に、修正のための合理的な時間枠を当社に与えること。
  • 品質の低いレポートを大量に提出することを避けること。

脆弱性が存在すると判断した場合、または機密データ(個人データ、財務データ、またはいかなる当事者の専有情報もしくは営業秘密を含む)に遭遇した場合、テストを中止し、直ちに当社に通知し、このデータを他の誰にも開示しないでください。

範囲

本ポリシーは以下のシステムおよびサービスに適用されます:

  • *.onesuite.io

範囲外の問題

以下の問題は本ポリシーの範囲外とみなされます:

  • OneSuite顧客の資産のテスト。
  • モデルの幻覚。
  • コンテンツモデレーションまたは採用に関する問題。
  • 他のコントロールによって緩和されるセキュリティ慣行(例:セキュリティヘッダーの欠如)。
  • ソーシャルエンジニアリング、フィッシング、および物理的攻撃。
  • Cookieフラグの欠如、影響の低いCSRF(例:ログイン/ログアウトCSRF)、コンテンツスプーフィング、またはスタックトレースなどの問題。
  • 実証可能なセキュリティ上の影響がない脆弱性。
  • DOS/DDOS攻撃。
  • 影響のないホストヘッダーインジェクション。
  • スキャナー出力、サーバーエラーメッセージ(重要な情報を明らかにする場合を除く)。
  • 古いブラウザまたは重大でないバグに関するレポート。

上記の「範囲」セクションに明示的に記載されていないすべてのサービス(接続されたサービスなど)は範囲から除外され、テストの認可はありません。さらに、当社のベンダーのシステムで発見された脆弱性は本ポリシーの範囲外であり、ベンダーの開示ポリシー(利用可能な場合)に従って直接ベンダーに報告してください。システムが範囲内かどうか不明な場合は、研究を開始する前に[email protected]までお問い合わせください。

謝辞

OneSuiteは現在、金銭的報酬を提供していませんが、お客様の貢献を評価しています。感謝の印として、お客様が匿名を希望されない限り、当社のセキュリティ開示謝辞ページでお客様のご協力を認知させていただきます。将来的に金銭的報酬を可能にするバグバウンティプログラムの実施に取り組んでいます。

脆弱性の報告

このポリシーに基づいて提出された情報は、防御目的のみに使用されます。お客様の調査結果がより広いユーザーコミュニティに影響を与える脆弱性を明らかにした場合、当社はお客様のレポートをCybersecurity and Infrastructure Security Agency (CISA)と共有する場合があります。お客様の許可なく、お名前や連絡先情報を開示することはありません。

提供いただきたい情報

提出の効果的なトリアージと優先順位付けに役立てるため、以下の情報をご提供ください:

  • 脆弱性の場所と潜在的な影響。
  • 脆弱性を再現するために必要な手順の詳細な説明(例:概念実証スクリプト、スクリーンショット)。
  • 英語でのレポート。

当社からの対応

連絡先の詳細を共有いただいた場合、当社は以下をお約束します:

  • 14営業日以内のレポート受領の確認。
  • 脆弱性の存在の確認と、修復プロセスに関する情報(遅延の可能性を含む)。

OneSuiteは提出された脆弱性に対する補償を提供していないことをご了承ください。レポートを提出することにより、お客様は補償に対するすべての請求を放棄するものとします。

ご質問

このポリシーに関するご質問やご提案は、[email protected]までご連絡ください。

最終更新日: November 12, 2024