Skip to content

Security: PurplePalette/sonolus-api-java

Security

SECURITY.md

セキュリティポリシー / Security policies

私たちは危険でいっぱいなインターネットに対してサービスの公開を行っており、サービスの利用者が悪意ある他者に襲われないようにする責任を当然持っています。セキュリティには十分気をつけて開発していますが、かけられるリソースの限界から、万全な脆弱性検証は行えておりません。そこで私たちは、外部のセキュリティ研究者による指摘を歓迎しています。

対象範囲 / Scope

受け付けるレポートは、以下を対象とするものです

対象範囲外 / Out of scope

下記を対象とするレポートは、受け付けません

  • Sonolus(アプリ本体)
    • アプリ開発者はこのコミュニティに所属しておりません。
    • 別途Discord等からご連絡ください。
  • 依存するライブラリの問題
    • 気持ちはわかりますが、ライブラリの開発者にご連絡ください。
  • DDos/総当り/ソーシャルエンジニアリング
    • 絶対にやめてください。

セーフハーバー / Safe harbor

下記の条件を満たす限り、セキュリティ研究者のセーフハーバーを約束します

  • 善意の心を持って調査にあたってください
  • 可能な限りプライバシー侵害、データの破壊、サービスの中断を避けてください
    • 所有しているアカウント、または利用の同意を得たアカウントを対象に実行してください
    • 万が一個人情報が取得できてしまった場合 取得できたデータを速やかに破棄してください

重大なリスクを発見した場合 / If you found high risk

他者になりすましログインができてしまう、サイトにXSSを埋め込み実行できてしまう、他者のメールアドレスが取得できてしまう等の重大なリスクを発見した場合は、絶対にGithubのリポジトリにIssueを立てず、メールまたはDiscordにてご連絡ください。

レポート内容 / Report content

  • 再現可能な手順と 発生しうる影響をできる限り丁寧に記述してください
  • 脆弱性はどれだけ似ていたとしても 1レポートにつき1つずつ送信してください

レポート提出方法 / How to submit a report

下記いずれかの方法でご連絡ください

レポートのお礼 / Benefits of reporting

有用なレポートを提供してくださった方は 対象となるリポジトリの原則トップにて、偉業を称えます。

There aren’t any published security advisories