ownCloudの脆弱性を安全に報告する方法
ownCloudの脆弱性を安全に報告する方法
ownCloudの脆弱性を安全に報告する方法
公式チャネルであるVDPやバグバウンティを通じて、ownCloudにセキュリティ脆弱性を報告する方法をご紹介します。ガイドラインに従い、詳細なレポートを提出してください。
セキュリティ開示ポリシー
ownCloud — Kiteworksグループ
ownCloudおよびそのユーザーのセキュリティは、私たちの重要な責任です。
セキュリティ上の問題を効果的に特定・報告・解決するため、正式な脆弱性開示ポリシーおよびバグバウンティプログラムを運用しています。
脆弱性を報告する方法
公式チャネルを通じてセキュリティ脆弱性をご報告ください:
- VDPプラットフォーム:security.owncloud.com
- バグバウンティプログラム:YesWeHack上のownCloud(yeswehack.com/programs/owncloud-bug-bounty-program)
- メール(バグバウンティ対象外の問題):security@owncloud.com
セキュリティ脆弱性は、公開GitHubイシュー、フォーラム投稿、ソーシャルメディアでは報告しないでください。未修正の脆弱性を公表するとユーザーが危険にさらされ、バグバウンティプログラムの対象外となります。
報告書に含めるべき内容
有用な脆弱性報告には、最低限以下を含めてください:
- 脆弱性の明確な説明とその潜在的な影響。
- 影響を受ける製品とバージョン(oCIS、デスクトップクライアント、Android、iOS、またはownCloud Server 10.x)。
- 再現手順(可能であればPoC付き)。
- 深刻度の評価(可能であればCVSSスコア)。
詳細な情報をいただくほど、迅速にトリアージと解決が可能です。
私たちの約束:ご報告者様へ
公式チャネルから脆弱性をご報告いただいた場合、以下をお約束します:
- 評価。 ownCloudセキュリティチームのメンバーが脆弱性を評価し、その影響と深刻度を判定します。
- 解決。 修正策を開発・テストし、該当ブランチに適用、次回のセキュリティリリースに含めます。重大な問題の場合は臨時リリースを行う場合があります。
エンゲージメントルール
セキュリティ研究者の皆様には、以下のガイドラインに従っていただくようお願いします:
- ご自身のownCloudインストール環境のみで脆弱性テストを行ってください。
- 他のユーザーのデータへのアクセス・変更・削除は行わないでください。
- ownCloudインフラへのDoS攻撃は行わないでください。
- ownCloudが修正および公式アドバイザリを発表するまで、脆弱性の詳細を公開しないでください。
- セキュリティチームが対応・修正するための合理的な時間を確保してください。
- 対象範囲か不明な場合は、事前にsecurity@owncloud.comまでご相談ください。
バグバウンティプログラム
YesWeHack上のバグバウンティプログラムでは、深刻度に応じてセキュリティ研究者に報奨金を支払います。深刻度はownCloudセキュリティチームの裁量で決定され、報奨金はYesWeHackプラットフォーム経由で支払われます。管理者権限が必要な脆弱性(CVSS PR:H)は、権限昇格と組み合わされない限り、通常はHigh(高)までに制限されます。
対象外
以下は、原則としてバグバウンティプログラムの対象外です:
- ネットワークレベルの攻撃(DDoS、アプリケーション層に影響しないMitMなど)。
- ownCloudスタッフへのソーシャルエンジニアリングやフィッシング攻撃。
- ownCloudが管理していないサードパーティアプリケーションの問題(該当メンテナーへご報告ください)。
- 実害が証明できないセキュリティヘッダーの欠如。
- SPF/DKIM/DMARCの設定ミス。
- セッション有効期限ポリシー。
- 検証済みPoCのない自動スキャナーからの報告。
サプライチェーンおよび依存関係の脆弱性
ownCloudで使用しているライブラリ、コンテナイメージ、ビルドツールなどの依存関係に脆弱性を発見した場合は、標準チャネルからご報告ください。必要に応じて、上流のメンテナーと連携して開示を調整します。
ownCloudは自動スキャンによるサプライチェーン監視とSBOM(ソフトウェア部品表)プロセスを運用しています。
お問い合わせ
- VDP / バグバウンティ:security.owncloud.com / YesWeHack
- セキュリティチームメール:security@owncloud.com
- OSPO連絡先:ospo@kiteworks.com
よくあるご質問
セキュリティ脆弱性は、ownCloudの公式チャネルを通じて報告できます。security.owncloud.comのVDPプラットフォーム、YesWeHackのバグバウンティプログラム、またはバグバウンティ対象外の問題についてはsecurity@owncloud.com宛のメールでご連絡ください。GitHubやフォーラム、SNSなどの公開プラットフォームでの情報公開は、ユーザー保護やバグバウンティプログラムの対象資格維持のため控えてください。
有用な脆弱性報告には、脆弱性の明確な説明とその影響範囲、影響を受ける製品およびバージョン(例:oCIS、Desktop Client、Android、iOS、ownCloud Server 10.x)、再現手順(可能であればPoCも)、CVSSスコアなどの深刻度評価を含めてください。詳細な情報提供により、トリアージと解決が迅速に進みます。
ownCloudは、報告された脆弱性についてセキュリティチームのメンバーが影響を評価し、深刻度を分類します。その後、修正策を開発・テストし、該当するブランチへ適用、次回のセキュリティリリースに含めるか、重大な問題の場合は臨時リリースを行います。
セキュリティ研究者は、以下のガイドラインに従ってください。自身のownCloud環境のみで脆弱性をテストすること、他ユーザーのデータへのアクセスや改変を避けること、ownCloudインフラへのDoS攻撃を行わないこと、修正およびアドバイザリ公開前に脆弱性の詳細を公開しないこと、対応や修正のために適切な期間を設けること、不明点がある場合はsecurity@owncloud.comへ連絡すること。