責任ある開示による修正のリリースノート
責任ある開示を通じて報告された脆弱性を修正する際のリリースノートの書き方。調整された開示タイムライン、クレジット、エンバーゴ対応を解説します。
Security
詳細な説明
リリースノートにおける責任ある開示
セキュリティ研究者が責任ある開示を通じて脆弱性を報告した場合、修正のリリースノートは透明性と適切なタイミングのバランスを取る必要があります。
調整された開示タイムライン
0日目 — 脆弱性が非公開で報告
1-3日目 — 受領確認、調査開始
7日目 — 脆弱性確認、修正開発開始
14日目 — 修正準備完了、サポートバージョン全体でテスト
15日目 — 報告者と開示日を調整
21日目 — 修正リリース、アドバイザリー公開(該当する場合CVE)
28日目+ — 完全な技術的詳細を公開
含めるべきもの
- 重大度とCVE — 一貫性のためCVSSスコアリングを使用
- 影響を受けるバージョン — 正確な範囲
- 簡単な説明 — エクスプロイト詳細なしの脆弱性タイプ
- クレジット — 常に報告者をクレジット(許可を得て)
- アドバイザリーへのリンク — 詳細が必要なユーザー向け
含めるべきでないもの
- 概念実証エクスプロイトコード
- 脆弱性をトリガーする正確なペイロード
- 内部調査の詳細
- 影響を受けた顧客の名前
ユースケース
責任ある開示プログラムを通じて発見されたセキュリティ修正を公開する場合。リリースノートは報告者を適切にクレジットしつつ、パッチ未適用のシステムの悪用を可能にする情報を避ける必要があります。