CONTRIBUTING.mdのセキュリティ開示ポリシー
CONTRIBUTING.mdにセキュリティ開示ポリシーを追加。責任ある開示、SECURITY.md、重大度分類、対応タイムライン、CVEプロセスをカバー。
Policies
詳細な説明
コントリビューティングガイドのセキュリティ開示
貢献を受け入れるすべてのプロジェクトには、明確なセキュリティ開示ポリシーが必要です。これはユーザーを保護し、セキュリティ研究者にレポートが適切に処理されるという確信を与えます。
SECURITY.md
GitHubは別のSECURITY.mdファイルを推奨していますが、CONTRIBUTING.mdではそれを参照すべきです:
## セキュリティ
セキュリティの脆弱性について**公開issueを開かないでください**。
責任ある開示の手順については、[セキュリティポリシー](SECURITY.md)に
従ってください。
責任ある開示プロセス
## セキュリティ脆弱性の報告
1. security@project.orgに以下を含めてメール:
- 脆弱性の説明
- 再現手順
- 潜在的な影響
- 修正案(あれば)
2. 48時間以内に確認の返信を受け取ります。
3. 7日以内に調査して更新を提供します。
4. 修正後、開示のタイミングを調整します。
重大度分類
| 重大度 | 説明 | 対応時間 |
|---|---|---|
| Critical | リモートコード実行、データ漏洩 | 24時間 |
| High | 認証バイパス、権限昇格 | 48時間 |
| Medium | XSS、CSRF、情報開示 | 7日 |
| Low | 悪用不可能な問題、強化 | 30日 |
セキュリティ問題に該当するもの
通常のバグではなくセキュリティチャネルを通じて報告すべきものを理解するのを助ける:
- 認証または認可のバイパス
- データの露出または漏洩
- リモートコード実行
- SQLインジェクション、XSS、CSRF
- 悪用可能な影響を持つ依存関係の脆弱性
- 暗号の弱点
CVEプロセス
CVEを割り当てるプロジェクト向け:
確認された脆弱性に対してCVE IDをリクエストします。報告者が匿名を希望しない限り、セキュリティアドバイザリで報告者にクレジットが付与されます。
セーフハーバー
セーフハーバー声明を含める:
この責任ある開示プロセスに従い、善意で行動するセキュリティ研究者に対して法的措置を取ることはありません。
ユースケース
ユーザーデータや認証を扱うプロジェクトが、明確でプロフェッショナルなセキュリティ開示ポリシーをコントリビューティングガイドラインの一部として公開することで、セキュリティ研究者との信頼を確立する必要がある場合。