日本語
Deutsch
English
Español
Français
Italiano
Português
Русский
العربية
हिन्दी
简体中文
Android
iOS
Mac
Windows
報告
メール送信先: 。影響を受けるアセット、再現手順、現実的な影響を説明してください。報告が具体的であるほど、より迅速に確認できます。
脆弱性開示プログラム 脆弱性を見つけましたか?
脆弱性を見つけましたか?
まず私たちにお知らせください。
信頼できるすべての報告を確認します。まずは Hall of Fame での掲載を基本とし、任意の謝礼金はケースごとに検討される場合があります。
私たちの姿勢
セキュリティはチームワークです。
セキュリティ研究者は敵対者ではありません。多くの場合、実際の脆弱性に最初に気づくのは研究者です。私たちは敬意をもって対応します。誠実な回答、明確な条件、公正な評価を約束します。これは脆弱性開示プログラムであり、Hall of Fame での掲載や、ケースごとの審査後に任意の少額謝礼金が検討される場合があります。固定または保証された支払いを伴う従来型のバグバウンティプログラムではありません。
Apple は当社創業者の Chris Bohn を、OS X の報告済みカーネル脆弱性(CVE-2013-1029)に関する公式セキュリティアップデートで氏名入りでクレジットしています。良い報告にどれほどの労力が必要か、そして公正な対応がどれほど重要かを、私たちは身をもって理解しています。 出典: support.apple.com/en-us/103517
仕組み ステップ 01 ステップ 02 ステップ 03
報告から修正まで、3つのステップ。
官僚的な手続きはありません。フォームもありません。隠れたプロセスもありません。
トリアージ
信頼できる報告を確認し、通常は数営業日以内に返信します。遅れが生じる場合は、状況をお知らせします。
修正 & 評価
修正は重大度に基づいて優先順位付けされます。対象となる検証済みの発見は、当社の Hall of Fame に掲載される場合があります。適切な製品脆弱性については、CVE 調整を検討します。
RFC 9116
security.txt
スキャナーを使用している、または /.well-known/security.txt を確認していますか?ここが適切な場所です。
# https://www.protectstar.com/.well-known/security.txt Contact: mailto:security@protectstar.com Encryption: https://www.protectstar.com/security/pgp.asc Policy: https://www.protectstar.com/security Acknowledgments: https://www.protectstar.com/security/acknowledgments Preferred-Languages: en, de Canonical: https://www.protectstar.com/.well-known/security.txt Canonical: https://protectstar.com/.well-known/security.txt Expires: 2027-05-19T23:59:59Z
スコープ
スコープに含まれるもの。
当社チームがすべての報告を丁寧に確認できるよう、意図的に限定したスコープから開始します。アプリや API に関する報告も歓迎しますが、ケースごとに確認します。
対象範囲
- www.protectstar.com & protectstar.com Protectstar が直接運営する公開ウェブサイト領域
- 公開文書化されたアップデートおよびダウンロードの完全性メカニズム Protectstar インフラ上でホストされる署名とハッシュ
- 公開済みのファイル完全性メタデータ protectstar.com で公開
- 追加のサブドメイン 明示的に掲載されている場合、または当社が書面で確認した場合のみ
対象外
- 第三者のシステムおよびサービス ショップおよび決済プロバイダー、アプリストア、CDN/ホスティング、外部エンジン、SDK、パートナーサービス
- 明示的に確認されていない API、ライセンス/アクティベーションサーバー、内部システム
- ソーシャルエンジニアリング & フィッシング 従業員、サポート、パートナーを対象とする行為
- DoS / DDoS / 大量トラフィックテスト
- 物理的攻撃
- 影響のない Self-XSS やベストプラクティスヘッダーの不足
- ベータ版 / TestFlight / リリース前バージョン
アプリ、バックエンド API、デスクトップソフトウェア: 報告は歓迎しますが、自動的にスコープ内または評価対象になるわけではありません。すべての報告をケースごとに確認します。
Safe Harbor
善意で研究してください。私たちは公正に対応します。
このポリシーに従い、善意で、かつスコープ内として明示的に掲載されたアセットまたは当社が書面で確認したアセットのみに対してセキュリティ研究を行う場合、当社はその研究を許可されたものとみなします。Protectstar は、当社の管理範囲内にある請求に関して、そのような研究に対する法的措置を開始または支援しません。
要件
- 脆弱性の実証に必要な範囲を超えて悪用しないこと
- 修正前に脆弱性を第三者へ開示しないこと
- 自分に属さないデータを持ち出し、変更、削除、保存、共有しないこと。可能な限りテストアカウントを使用してください
- 事前の調整と書面による承認なしに公開または開示しないこと。90日は当社の目安であり、自動的な許可ではありません
- 意図的なサービス妨害またはデータ破壊を行わないこと
- あなた、あなたの研究、影響を受けるシステムに適用される法律を遵守すること
自分に属さないデータを誤って見てしまった場合は、直ちに停止してください。それ以上アクセス、コピー、変更、削除、保存、共有せず、検証に必要な最小限の情報のみを報告してください。この保証は Protectstar の管理範囲内にある請求にのみ適用され、法律で禁止される行為を許可するものではありません。第三者のシステム、サービス、ネットワーク、データに対する活動には適用されず、第三者による独立した対応を妨げるものでもありません。迷った場合は、後からではなく事前に質問してください。
評価
まず Hall of Fame。少額の謝礼金はケースごとに検討します。
Protectstar は、固定または保証された支払いを伴う従来型のバグバウンティプログラムを運営していません。私たちは、公正な審査、協調的な修正、要件を満たす報告に対する Hall of Fame での評価に重点を置いています。さらに Protectstar は、特に有用で、検証済みで、以前は知られておらず、スコープ内の報告に対し、当社の単独裁量で少額の任意の金銭的謝礼を提供する場合があります。支払いを受ける権利は発生しません。支払いの可否および金額は、完全な技術報告の検証後にのみ決定されます。
Hall of Fame 掲載のための要件
- 有効で、再現可能な形で文書化されている
- 以前は未知であり、内部レビュー中ではない
- 上記の対象範囲に基づきスコープ内である
- 最初に提出されている(最初の報告者を優先)
- このポリシーに違反せずに報告されている
- Protectstar または当社ユーザーのセキュリティに実質的に関連している
- 報告の前後または最中に脅迫や支払い要求がない
重大度分類
重大度は修正の優先順位と評価の可能性に影響します。Hall of Fame は当社の主要な評価形式です。
| 重大度 | 一般的な例 | 可能な評価 |
|---|---|---|
| クリティカル | リモートコード実行、認証バイパス、大規模なデータ漏えい、アップデート完全性の侵害 | Hall of Fame。ケースごとの審査後、少額の任意謝礼金が検討される場合があります |
| 高 | 権限昇格、影響のある暗号上の弱点、アカウント乗っ取り | Hall of Fame。ケースごとの審査後、少額の任意謝礼金が検討される場合があります |
| 中 | Stored XSS、実証可能な影響を伴う IDOR、セッションの問題 | Hall of Fame。明確で再現可能な影響がある場合、任意の少額謝礼金が検討される場合があります |
| 低 | 影響が限定的な Reflected XSS、実害のない情報開示 | 通常は Hall of Fame または謝辞。金銭的評価は例外的な場合のみ |
重大度は CVSS 4.0 または CVSS 3.1 を目安として評価されます。最終評価は Protectstar が行います。評価が異なる場合は、ご要望に応じて書面で説明できます。完全な技術報告を受領し検証する前に金額交渉は行いません。
応答時間
当社の目標期間。
当社は小規模なチームであり、24時間365日の SOC ではありません。これらの数値は目標です。遅れがある場合はお知らせします。
3 営業日 受領確認(目標)
10 営業日 初回技術トリアージ(目標)
90 日 協調的開示(目標)
暗号化
PGP 鍵。
機微な脆弱性の詳細については、報告を暗号化できます。
フィンガープリント
B8DB 47D7 DBE5 DD63 7C65 80E0 3513 CE31 BD10 B7AD
キー ID
0x3513CE31BD10B7AD
識別名
PROTECTSTAR Support Hero
< >
< >
この鍵は現在 に関連付けられており、Protectstar により との暗号化通信に使用することが許可されています。
鍵をダウンロード Hall of Fame
私たちを支援してくださった方々。
当社プログラムを責任をもって利用し、製品の安全性向上に貢献してくださったセキュリティ研究者。
まだ掲載はありません。
このプログラムは開始されたばかりです。要件を満たす報告はここに掲載される場合があります。
よくある質問
お問い合わせの前に。
善意の研究とは、このポリシーに従い、必要な範囲を超えて悪用せずに脆弱性を実証し、まず当社に報告し、修正のための時間を与えることを意味します。その線を越える、ユーザーデータを持ち出す、または支払いを要求するために技術的詳細を差し控える場合、Safe Harbor は適用されません。
自動的には支払われません。Protectstar は、固定または保証された支払いを伴う従来型のバグバウンティプログラムを運営していません。Hall of Fame が当社の主要な評価形式です。特に有用で、検証済みで、以前は知られておらず、スコープ内の報告については、当社の単独裁量で少額の任意謝礼金を提供する場合があります。完全な技術報告を受領し検証する前に報酬交渉は行いません。
匿名の報告も受け付け、技術的には同じ方法で確認します。要件を満たす場合、ご要望に応じて仮名で Hall of Fame に掲載します。
CVSS 4.0 または CVSS 3.1 を目安として使用し、実証内容から得られる影響要因で補足します。最終評価は Protectstar が行います。評価が異なる場合は、ご要望に応じて説明できます。
適切な製品脆弱性については、適切な CNA または別の適切な経路を通じた CVE 調整を検討します。CVE ID は保証されず、CNA の CVE ルールに依存します。
はい。ただし、非侵襲的でレート制限された方法に限り、スコープ内として明示的に掲載されたアセットのみが対象です。攻撃的なツール、高いリクエスト頻度、または他のユーザーの可用性に影響する可能性のあるテストは許可されません。欠落ヘッダー、TLS メモ、バージョン開示など、検証済みの影響を伴わない生のスキャナー出力は評価対象になりません。迷った場合は、まず質問してください。
最初の報告者が優先されます。脆弱性がすでに社内で既知である、またはすでに報告されている場合、評価対象にはなりません。可能な限り早くお知らせします。
Protectstar のアプリや API に関する報告は歓迎します。ただし、この初期段階ではケースごとに確認され、影響を受けるアセットが上記に明示されている、または当社が書面で確認している場合を除き、自動的に評価対象にはなりません。それでも、ぜひ報告をお送りください。
報告をお送りください。
信頼できる報告を確認し、通常は数営業日以内に返信します。
PGP 利用可能 · RFC 9116 準拠の security.txt · 善意の研究のための Safe Harbor