ownCloudの脆弱性を安全に報告する方法
ownCloudの脆弱性を安全に報告する方法 VDPやバグバウンティなどの公式チャネルを通じて、ownCloudにセキュリティ脆弱性を報告する方法をご紹介します。ガイドラインに従い、詳細なレポートを提出してください。
セキュリティ開示ポリシー
ownCloud — Kiteworksグループ
ownCloudおよびそのユーザーのセキュリティは、私たちの重要な責任です。
セキュリティ上の問題が確実に特定・報告・解決されるよう、正式な脆弱性開示ポリシーおよびバグバウンティプログラムを運用しています。
脆弱性を報告する方法
公式チャネルを通じてセキュリティ脆弱性をご報告ください:
- VDPプラットフォーム:security.owncloud.com
- バグバウンティプログラム:YesWeHack上のownCloud(yeswehack.com/programs/owncloud-bug-bounty-program)
- メール(バグバウンティ対象外の問題):security@owncloud.com
セキュリティ脆弱性は、公開GitHubイシュー、フォーラム投稿、SNSなどの公開チャネルでは報告しないでください。未修正の脆弱性を公開するとユーザーが危険にさらされ、バグバウンティプログラムの対象外となります。
報告時に含めるべき内容
有用な脆弱性報告には、最低限以下の情報が含まれます:
- 脆弱性の明確な説明と、その潜在的な影響。
- 影響を受ける製品とバージョン(oCIS、デスクトップクライアント、Android、iOS、またはownCloud Server 10.x)。
- 再現手順(可能であればPoCも含む)。
- 深刻度の評価(可能であればCVSSスコア)。
詳細な情報をいただくほど、迅速にトリアージと対応が可能です。
私たちの約束:ご報告いただいた方へ
公式チャネルを通じて脆弱性をご報告いただいた場合、以下をお約束します:
- 評価。 ownCloudセキュリティチームのメンバーが脆弱性を評価し、影響範囲や深刻度を判定します。
- 解決。 修正策を開発・テストし、該当するブランチに適用、次回のセキュリティリリースにパッケージ化します。重大な問題の場合は臨時リリースを行う場合もあります。
エンゲージメントルール
セキュリティリサーチャーの皆様には、以下のガイドライン遵守をお願いします:
- ご自身のownCloudインストール環境のみで脆弱性テストを行ってください。
- 他のユーザーのデータへのアクセス・改ざん・削除は行わないでください。
- ownCloudインフラへのDoS攻撃は行わないでください。
- ownCloudが修正および公開アドバイザリを発表するまで、脆弱性の詳細を公開しないでください。
- セキュリティチームが対応・修正するための合理的な時間を確保してください。
- 対象範囲か不明な場合は、事前にsecurity@owncloud.comまでご相談ください。
バグバウンティプログラム
YesWeHack上のバグバウンティプログラムでは、深刻度に基づき認定された脆弱性に対してセキュリティリサーチャーへ報酬を支払います。深刻度の判定はownCloudセキュリティチームの裁量によります。報酬はYesWeHackプラットフォーム経由で支払われます。管理者権限が必要な脆弱性(CVSS PR:H)は、権限昇格と組み合わせた場合を除き、通常はHigh(高)までに制限されます。
対象外
以下は、原則としてバグバウンティプログラムの対象外です:
- ネットワークレベルの攻撃(DDoS、アプリケーション層への影響がないMitMなど)
- ownCloudスタッフへのソーシャルエンジニアリングやフィッシング攻撃
- ownCloudが管理していないサードパーティアプリの問題(該当メンテナーへご報告ください)
- 実害が証明できないセキュリティヘッダーの欠如
- SPF/DKIM/DMARCの設定ミス
- セッション有効期限ポリシー
- 検証されていない自動スキャナーからの報告
サプライチェーンおよび依存関係の脆弱性
ownCloudが利用しているライブラリ、コンテナイメージ、ビルドツールなどの依存関係で脆弱性を発見した場合も、標準の報告チャネルからご連絡ください。必要に応じて、上流のメンテナーと連携して開示を調整します。
ownCloudは自動スキャンによるサプライチェーン監視とSBOM(ソフトウェア部品表)プロセスを維持しています。
お問い合わせ
- VDP / バグバウンティ:security.owncloud.com / YesWeHack
- セキュリティチームメール:security@owncloud.com
- OSPO連絡先:ospo@kiteworks.com
よくあるご質問
ownCloudの公式チャネルを通じて脆弱性を報告できます。security.owncloud.comのVDPプラットフォーム、YesWeHackでのバグバウンティプログラム、またはバグバウンティの対象外の場合はsecurity@owncloud.com宛にメールでご連絡ください。GitHubやフォーラム、SNSなどの公開プラットフォームでの情報公開は避け、ユーザー保護とバグバウンティプログラムの適用対象を維持してください。
有用な脆弱性報告には、脆弱性の明確な説明とその潜在的な影響、影響を受ける製品とバージョン(例:oCIS、Desktop Client、Android、iOS、またはownCloud Server 10.x)、再現手順(可能であれば概念実証も)、およびCVSSスコアなど深刻度の評価を含めてください。詳細な情報を提供することで、トリアージと解決が迅速になります。
ownCloudは、報告された脆弱性についてセキュリティチームのメンバーが影響を評価し、深刻度を分類することを約束します。その後、修正策を開発・テストし、該当するブランチに適用して次回のセキュリティリリースに含めるか、重大な問題の場合は臨時リリースを発行します。
セキュリティ研究者は、以下のガイドラインに従ってください:自身のownCloud環境のみで脆弱性テストを行うこと、他ユーザーのデータへのアクセスや変更を避けること、ownCloudインフラへのDoS攻撃を行わないこと、修正およびアドバイザリが発行されるまで脆弱性の詳細を公開しないこと、対応や修正のために合理的な期間を設けること、範囲に不明点がある場合はsecurity@owncloud.comへ連絡してください。