脆弱性開示ポリシー
最終更新日:2024-12-19
1. ポリシーの目的
Whispieは、ユーザーのために最高水準のセキュリティを維持することにコミットしています。本ポリシーは、セキュリティ研究者がWhispieシステムおよびサードパーティ統合(Stripe、Supabase、Facebook、Google Analytics、Twilioなど)で発見した脆弱性を責任をもって開示するためのガイダンスを提供します。
当社は、世界中のセキュリティ研究者と協力することがユーザーの安全を守るために不可欠であると考えています。発見した潜在的な脆弱性について当社にご連絡いただくことを奨励します。
2. スコープ
✅ スコープ内のシステム
- whispieapp.comおよびすべてのサブドメイン
- Whispieモバイルアプリケーション(iOS & Android)
- すべてのAPIエンドポイントおよびサービス
- サードパーティ統合およびサービス:
- Stripe決済システム
- Supabaseデータベースおよび認証
- Twilio SMS認証
- Facebook/Meta広告統合
- Google Analytics実装
- Cloudflareセキュリティサービス
❌ スコープ外
- 物理的セキュリティ評価
- ソーシャルエンジニアリング攻撃
- DDoS攻撃または大量テスト
- Whispie従業員またはインフラへの攻撃
- Whispieと直接統合されていないサードパーティサービス
- 概念実証のない理論的な脆弱性
- 影響が実証されていないセキュリティヘッダーの欠如
3. 責任ある開示のルール
✅ すべきこと
- 潜在的な脆弱性を発見したら直ちに当社に通知する
- 脆弱性を実証するために必要な最小限の機密データを使用する
- 調査結果の詳細なドキュメントを提供する
- 脆弱性に関するコミュニケーションを秘密に保つ
- 当社が脆弱性に対処するための合理的な時間を与える
- 可能な限り自分のアカウントまたはテストデータに対してテストを行う
❌ すべきでないこと
- データの削除、改ざん、盗取を行わない
- サービス中断を引き起こす可能性のあるテストを行わない
- 他のユーザーのプライバシーを侵害しない
- 従業員やユーザーに対してソーシャルエンジニアリングを使用しない
- 当社のインフラへの物理的攻撃を行わない
- 当社が対処する前に脆弱性を公開しない
- 脆弱性レポートに対して金銭的報酬を要求しない
4. サードパーティ統合に関する特別ルール
🔵 Facebook(Meta)統合
- Facebook APIの悪用やレート制限の超過を避ける
- 認可なしにユーザーデータへのアクセスを試みない
- Facebookのセキュリティポリシーおよびバグバウンティプログラムに従う
- 該当する場合、Facebook固有の脆弱性をFacebookのセキュリティチームに報告する
🟢 Google Analytics統合
- 分析データ収集メカニズムのテスト時には注意する
- テストに実際のユーザーデータを使用しない
- GoogleのサービスTerms of Serviceに従う
- Googleのインフラではなく、WhispieのGoogle Analytics実装に焦点を当てる
🟣 Stripe統合
- 本番の決済取引でテストしない
- テストカードとサンドボックス環境のみを使用する
- Stripeのセキュリティポリシーと開示ガイドラインに従う
- Stripe固有の脆弱性をStripeのセキュリティチームに報告する
🟠 Supabase統合
- 実際のユーザーデータにアクセスせずにデータベースセキュリティをテストする
- 可能な限りテストアカウントとデータベースを使用する
- Supabaseのセキュリティガイドラインに従う
- SupabaseサービスのWhispie実装に焦点を当てる
5. 開示プロセス
2
確認
当社のセキュリティチームは24〜48時間以内に受信を確認し、3営業日以内に脆弱性を検証します。
3
修正
当社は脆弱性の重要度と複雑さに基づいて修正を開発します。
4
通知
当社の進捗状況についてお知らせし、脆弱性が解決されたときに通知します。
5
公開開示
修正がデプロイされた後、当社はお客様の貢献を公に認めることがあります(ご許可を得た上で)。
6. 対応タイムライン
- 初回応答:24〜48時間
- 脆弱性の確認:3営業日
- 修正の開発:重要度と複雑さによって異なります
- 公開開示:修正後30日
注記:複雑な脆弱性は適切な修正のために追加の時間が必要な場合があります。
8. 法的保護
当社は、本ポリシーに従ってセキュリティリサーチを実施した場合、お客様に対して法的措置を起こしません。本ポリシーと一致した活動は、コンピュータ詐欺および不正使用防止法に基づく「認可された」行為とみなします。
ただし、本ポリシーによって認可されていない活動が含まれる場合、当社は法的手段を含むすべての適切な措置を講じる権利を留保します。
9. 表彰プログラム
当社は現在、正式なバグバウンティプログラムを運営していませんが、セキュリティ研究者の貴重な貢献を認めることを重視しています。ご許可をいただいた上で、当社は以下を行う場合があります:
- 当社のセキュリティ殿堂にお名前を掲載する
- お客様の貢献を公に認める
- プロフェッショナルポートフォリオ用の表彰状を提供する
当社はセキュリティ表彰プログラムを継続的に評価しており、将来的に金銭的報酬を導入する可能性があります。
10. ポリシーの更新
当社は本ポリシーを随時更新することがあります。このページ上部の「最終更新日」は最新の変更が行われた日付を示します。本ポリシーを定期的にご確認されることをお勧めします。