セキュリティアドバイザリーリリースノート
セキュリティパッチのリリースノートの書き方。CVE参照、重大度レベル、影響を受けるバージョン、責任ある開示の実践方法を解説します。
Security
詳細な説明
セキュリティリリースノート
セキュリティリリースにはドキュメントに特別な注意が必要です。パッチ未適用のシステムに対して悪用できる詳細を明かさずに、ユーザーがリスクと緊急性を評価できる十分な情報を提供する必要があります。
必要な情報
- 重大度レベル(Critical、High、Medium、Low)
- CVE識別子(割り当てられている場合)
- 影響を受けるバージョンの範囲
- 修正されたバージョン番号
- 脆弱性タイプの簡単な説明
- 報告者へのクレジット(許可を得て)
コミュニケーション戦略
- 報告者や影響を受ける当事者と開示タイミングを調整する
- 詳細なしでリリース日を事前に告知して、ユーザーが計画できるようにする
- リリース後、完全な技術的詳細の公開まで24-72時間待つ
- サポートされているすべてのリリースブランチに修正を含める
- リリースを緊急としてマークし、複数のチャネルで通知する
重大度レベル
| レベル | 説明 |
|---|---|
| Critical | リモートコード実行、認証なしのデータ侵害 |
| High | データアクセス、権限昇格、SQLインジェクション |
| Medium | XSS、CSRF、情報漏洩 |
| Low | 軽微な情報漏洩、DoSエッジケース |
ユースケース
バグバウンティプログラムやセキュリティ監査で発見された脆弱性のセキュリティパッチを公開する場合。影響を受けているかどうか、どの程度緊急にアップグレードが必要かをユーザーが評価するのに明確なドキュメントが役立ちます。