Fiery脆弱性開示ポリシー
Fiery, LLC.では、当社製品のセキュリティ脆弱性を収集し、開示することの重要性を認識しています。
本ポリシーは、サイバー脅威からお客様を保護するために、すべての当社製品について、セキュリティの脆弱性に迅速かつ効果的に対処するという当社のコミットメントを概説するものです。
新しいセキュリティ脆弱性が内部または外部で報告または特定された場合、Fiery製品セキュリティチームはこのポリシーに従って対処します。
Fiery, LLC.は、当社製品およびサービスにおいて報告された潜在的な脆弱性を評価する当社の標準的なプロセスの一環として、共通脆弱性スコアリングシステム(CVSS)に従っています。脆弱性は、CVSSリスクベースのスコア(重大、高、中、低)に従って処理され、優先順位が付けられます。
お客様は、CVSSスコアに従って、ご自身の環境における特定の脆弱性の優先順位を決定することが推奨されます。
脆弱性の報告
Fieryは、当社製品のセキュリティ上の脆弱性を責任を持って開示することを推奨しています。潜在的なセキュリティの脆弱性を発見された場合は、当社のセキュリティチームに迅速かつ責任を持ってご報告ください。本ページの下にあるフォームを使用して脆弱性を報告できます。
対象範囲内の脆弱性情報
Fieryセキュリティチームは、実証された脆弱性についての情報提供を積極的に受け止め、Fieryのお客様を保護することに全力を尽くします。本コミットメントの一環として、セキュリティの脆弱性や弱点を積極的に報告し、Fiery製品の保護にご協力いただけるセキュリティ研究者を募集しています。
Fiery, LLC. 脆弱性開示ポリシーは、次の製品およびサービスに適用されます。
- Fiery Systemソフトウェア。例:FS600/FS600 Pro
- Fieryファームウェア。例:Fiery HWプラットフォームBIOS/UEFI
- Fieryデスクトップクライアントアプリケーション。例:Fiery Command WorkStation
- Fieryモバイルアプリ。例:Fiery Go
- Fiery Cloudアプリケーション。例:Fiery IQ
- Fieryサポートツール。例:Fiery Installer Builder
対象範囲外の脆弱性情報
次の脆弱性の報告は受け付けておりません。
- Windowsオペレーティングシステム脆弱性
- サービス拒否(DOS)脆弱性
- TLS設定脆弱性(「弱い」暗号スイート対応など)
- ユーザーアカウントの作成に使用されるメールアドレスの検証をめぐる問題
- クロスサイトリクエストフォージェリ(CSRF)攻撃とキャリッジリターンとラインフィード(CRLF)攻撃は、結果として生じる影響が最小
- ソーシャルエンジニアリング/フィッシング攻撃
- Fiery製品と統合するサードパーティのWebサイトおよびアプリケーションにおけるセキュリティバグ
- ネットワークデータの列挙技術(バナー奪取、一般公開されているサーバー診断ページの存在など)
- 製品が「ベストプラクティス」に完全に合致していないことを示すレポート
- 自動ソフトウェアスキャナーの出力
責任ある情報開示
当社は責任ある情報開示の原則に従っています。当社はセキュリティ研究者に次のことを求めています。
- 報告された脆弱性を公表する前に、その脆弱性を調査し、対処するための合理的な時間を提供する
- 悪意ある目的のために脆弱性を悪用したり、当社が対処する機会を得るまで他者に開示したりすることは控える
脆弱性評価
セキュリティ脆弱性の報告を受けると、当社のセキュリティチームは報告された問題を迅速に評価し、その重大性、潜在的な影響、悪用の可能性を判断します。
緩和と修復
脆弱性の深刻度に応じて、問題を緩和し、修復するための適切な措置を講じます。これには、脆弱性に対処するためのパッチ、アップデート、回避策を開発しリリースすることが含まれます。当社は、お客様やビジネスパートナーに対して、脆弱性の状況や、自身を守るために必要な措置について、タイムリーな最新情報を提供するよう努めます。
当社は、Fiery Communities上で、製品のセキュリティ、勧告および通知を公表します。
研究者との連携
当社は、セキュリティの脆弱性を特定し、それに対処するためのサポートをしてくれるセキュリティ研究者の貢献を高く評価しています。当社は、報告された脆弱性を検証し、修正プログラムを開発し、テストするために研究者と協力しており、研究者の貢献を適切に認識しています。
バグバウンティプログラム
当社では、バグバウンティプログラムは実施していません。発見されたバグがFiery, LLC.によって新たに報告され、検証された場合、Fiery, LLC.はセキュリティ情報を発行し、発行されたセキュリティ情報内で文書による謝意を表します。従って、支払いや補償を期待することなく、提出された報告書に関連する将来的な請求権は放棄されることをご了承ください。
情報公開
セキュリティの脆弱性に完全に対処した後は、その性質、影響、脆弱性を緩和するために講じた措置など、脆弱性に関する情報を公開します。Fieryは、セキュリティ慣行における透明性と説明責任を信条としています。
継続的改善
Fieryは、製品の安全性を継続的に向上させることに取り組んでいます。当社は、新たな脅威と業界のベストプラクティスに適応するために、セキュリティプロセスと手順を定期的に見直し、更新します。
本セキュリティ脆弱性ポリシーを遵守することにより、お客様のセキュリティとプライバシーに対する当社の取り組みを示すことで、お客様の信頼と信用を維持することを目指しています。
潜在的な脆弱性の報告
Fiery製品にセキュリティの脆弱性を発見した場合は、次のフォームにご記入の上、可能な限りの情報をご提供ください。Fieryセキュリティチームは、Fiery製品およびサービスに影響する、報告されたすべての脆弱性を調査します。Fieryセキュリティチームは、Fiery製品の技術サポートは提供していないことをご了承ください。セキュリティ脆弱性の可能性の報告以外でサポートが必要な場合は、Fiery CommunitiesからFieryテクニカルサポートにご連絡ください。
ポリシーの更新:2024年3月4日