セキュリティポリシー Prusa 3D

はじめに

この脆弱性開示ポリシーは、Prusa Research a.s.（以下「組織」）に報告を検討している脆弱性に適用され、組織のウェブサイトにこのポリシーを参照するsecurity.txtファイルが公開されている場合に適用されます。

脆弱性を報告する前にこの脆弱性開示ポリシーを十分に読み、常にこれを遵守して行動することをお勧めします。

私たちは、このポリシーに従って、時間と労力を割いてセキュリティの脆弱性を報告してくださる方々を高く評価します。私たちは、問題の重大性に応じて、金銭的または物質的な方法によって進める価値があると評価した関連するセキュリティ報告には報奨を与えます。

報告

組織のシステムに関するセキュリティ脆弱性を発見したと思われる場合は、公開されたsecurity.txtファイルのCONTACTフィールドに定義されたアドレスに脆弱性レポートを提出してください。

報告書には、以下の詳細を含めてください。:

• 脆弱性が観測されるウェブサイト、IP、ページ。
• 脆弱性のタイプの簡単な説明（例：「XSS脆弱性」）
• 再現の手順。これらは、良性の、非破壊的な、概念実証でなければならない。これは、レポートを迅速かつ正確にトリアージするのに役立ちます。また、重複報告や、サブドメインの乗っ取りなど、一部の脆弱性を悪意を持って悪用される可能性も低くなります。

期待されるもの

レポート提出後、5営業日以内にご回答し、10営業日以内にトリアージすることを目指します。また、進捗状況を常にお知らせするよう努めます。

修復の優先順位は、影響度、重大度、エクスプロイトの複雑さによって評価されます。脆弱性レポートのトリアージや対応には時間がかかる場合があります。状況についてのお問い合わせは歓迎いたしますが、14日に1度以上のお問い合わせはお控えください。そうすることで、私たちのチームは改善に集中することができます。

報告された脆弱性が修正された時点で通知され、そのソリューションが脆弱性を適切にカバーしていることを確認するよう求められることがあります。

脆弱性が解消されれば、報告書の公開要請を歓迎する。ガイダンスの統一を図りたいと思いますので、引き続き公開の調整をお願いします。

ガイダンス

以下のことをしてはならない。:

• 適用される法律や規則に違反すること。
• 不必要、過剰、または大量のデータにアクセスすること。
• 組織のシステムまたはサービス内のデータを変更すること。
• 脆弱性を見つけるために、侵襲的または破壊的な高強度のスキャンツールを使用すること。
• 大量のリクエストでサービスを圧倒するなど、あらゆる形のサービス拒否を試みたり、報告したりすること。
• 組織のサービスまたはシステムを妨害すること。
• 脆弱性の詳細を記したレポートや、セキュリティヘッダーの欠落など、サービスが「ベストプラクティス」に完全に合致していないことを示すレポートを提出すること。
• TLSコンフィギュレーションの弱点、たとえば「弱い」暗号スイートのサポートやTLS1.0のサポートの有無について、詳細なレポートを提出すること。
• 公開されているsecurity.txtに記載されている以外の方法で、脆弱性や関連する詳細を伝えること。
• ソーシャルエンジニアリング、「フィッシング」、または組織のスタッフやインフラを物理的に攻撃すること。
• 脆弱性を開示するために金銭的補償を要求すること。

しなければならないこと:

• 常にデータ保護規則を遵守し、組織が保有するデータのプライバシーを侵害してはなりません。例えば、システムまたはサービスから取得したデータを共有、再配布、または適切に保護することを怠ってはなりません。
• 調査中に取得したすべてのデータは、不要になり次第、または脆弱性が解消されてから1ヶ月以内のいずれか早い時点で、安全に削除すること（または、データ保護法により義務付けられている場合）。

法的事項

本方針は、一般的な脆弱性開示のグッドプラクティスに適合するように設計されています。本ポリシーは、法律と矛盾する行為、または組織もしくはパートナー組織が法的義務に違反する可能性のある行為を許可するものではありません。