セキュリティ問題の報告

  • 更新

バグ報奨金ポリシー

Firecoreでは、すべての製品において高レベルのセキュリティを維持することを優先しています。 全体的なセキュリティを強化するため、潜在的なセキュリティリスクやデータ漏洩を発見した個人が、責任ある方法で私たちのチームに開示することを温かく歓迎します。

問題を報告する際は、以下のガイドラインに従ってください。

  • 自分のデータだけにアクセスし、公開する
  • 他のデータへの意図しないアクセスや暴露が発生した場合は、速やかに当社に報告してください。 この時点でそれ以上の搾取を試みてはならない
  • 他のユーザーのサービス品質を低下させる可能性のあるツールやテクニックを避ける。
  • 脆弱性の秘密は厳守し、Firecoreのみに開示すること。

関心分野

Firecoreでは一つ一つの投稿を大切にしていますが、多くの投稿は些細なものであり、Firecoreのサービスやユーザーのセキュリティに影響を与えるものではありません。 しかし、私たちは特に以下のことに関心がある:

  • クライアントアプリケーションまたはクラウドインフラストラクチャでのリモートコード実行
  • クラウドインフラに対する特権昇格攻撃
  • 認証攻撃
  • クロスサイト・スクリプティング(XSS)
  • クロスサイトリクエストフォージェリ (CSRF/XSRF)

報酬プログラムは、以下の種類の投稿は対象外となりますのでご了承ください:

  • サービス拒否脆弱性(DoS)
  • クッキーの不適切な取り扱い
  • Firecoreのサービスで使用されている第三者のウェブサイトやソフトウェアに発見されたセキュリティ上の欠陥
  • 悪意のあるファイルやリンクを他の個人に送信しようとする行為
  • スパム、フィッシング、ソーシャル・エンジニアリングを利用した事例

再現性

何らかの報酬を得るためには、私たちのエンジニアが問題を再現できなければなりません。 そうすることで、関係者全員の時間を節約することができる。

報酬

私たちは、上記のガイドラインに従って責任を持って悪用や脆弱性を開示してくださる方々に感謝しています。

また、Firecoreは、必要と判断した場合、ポリシーを変更または終了する権利を有します。

なお、報酬は未知の脆弱性に対してのみ付与されます。内部評価または外部報告によって既に判明している問題は、報酬の対象とはなりません。

インフューズ・プロは、対象となるすべてのレポートに対して、無償で生涯利用権を提供いたします。 お客様がすでにインフューズ・プロのライセンスをお持ちの場合、またはインフューズをご利用でない場合は、対応する現金相当額をご提供いたします。

レポート提出方法

Firecoreに潜在的なセキュリティ問題を報告するには、以下の手順に従ってください:

  1. 安全なメッセージを送る
  2. レポートには、プラットフォーム、アプリのバージョン、必要なエクスプロイト条件、概念実証やエクスプロイトコードに裏付けされた説明、エクスプロイトされた場合の潜在的な影響、関連する添付ファイルなど、必要不可欠な情報が含まれていることを確認してください。
  3. 従業員個人への直接のお問い合わせはご遠慮ください。
  4. 指定のフォームからの応募のみが特典の対象となります。

報告書に関して質問があれば、必ずお知らせします。 私たちのサービス全体のセキュリティを向上させるために、皆様のご協力をお願いいたします。

この記事をシェアする

この記事は役に立ちましたか?

4人中2人がこの記事が役に立ったと言っています

他にご質問がございましたら、リクエストを送信してください