1. ホーム
2. セキュリティ
3. 脆弱性公開ポリシー

責任ある脆弱性の開示

私たちは、責任あるセキュリティ研究と開示が会員およびユーザーの安全を守る方法を継続的に改善するのに役立つと信じています。

脆弱性対応

脆弱性の報告

セキュリティ脆弱性の可能性がある場合は、 を通じてご報告ください。レポート提出の際には、以下の情報を記載していただくようお願いします。

• 報告者の連絡先（メールアドレス）
• 脆弱性が含まれるソフトウェアの名称とバージョン
• 脆弱性の詳細な説明
• 問題を再現するための手順

脆弱性報告の対象

脆弱性報告の対象は、以下のリポジトリで管理されるソフトウェアに限らせていただきます。

• https://github.com/openam-jp

脆弱性対応のプロセス

脆弱性対応のプロセスは、以下の4つのステップで構成されます。

1. 報告受付

脆弱性の報告を受信した日を起点として、7日以内に報告を受け付けた旨を報告者に返信します。

2. 脆弱性調査

ソフトウェアに対する脆弱性の影響を調査します。調査結果については、報告者と共有します。

3. 対策準備

脆弱性の内容に応じて、以下のような対策を準備します。

• 修正： 脆弱性を除去もしくは軽減するためのパッチ、修正版など
• 回避策： 脆弱性を利用した攻撃の影響を減らすためのアクションなど

4. セキュリティアドバイザリの公開

セキュリティアドバイザリを公開します。公開時期については、報告者と事前に共有します。