脆弱性開示プログラム
Dispelは、当社のシステム、製品、およびサービスのセキュリティ、完全性、および可用性を維持することにコミットしています。当社は、セキュリティ研究者および広範なサイバーセキュリティコミュニティのメンバーが脆弱性の特定において重要な役割を果たすことを認識しています。当社は、お客様および運用環境を保護する方法で実施される、責任ある誠実な調査を歓迎します。
適用範囲
このプログラムは、dispel.com 関連のサブドメインを含む Dispel が所有および運用する、特定の公開アクセス可能なシステム、サービス、アプリケーション、API、およびウェブサイト、ならびに Dispel が開発したソフトウェアおよびホスト型サービスに適用されます。
対象となる特定のサービスは以下です:
dashboard.dispel.io
app.dispel.com
api.dispel.com
これらのサービスは 該当 しません:
dispel.com
status.dispel.com
docs.dispel.com
help.dispel.io
カスタマー管理下の環境、サードパーティのシステム、ソーシャルエンジニアリング、物理的侵入、サービス拒否(DoS)活動、パフォーマンスを低下させる自動スキャン、および運用または安全性に関わるシステムを妨害する可能性のあるテストは、本プログラムの対象外です。
脆弱性の報告方法
セキュリティ脆弱性を特定したと思われる場合は、以下に報告してください:
問題を効率的に評価するために、次の情報を含めてください:
脆弱性の説明
影響を受けるシステムまたは URL
問題を再現する手順
証拠や概念実証(PoC)などの補助資料
あなたの連絡先情報
機密情報を送信する場合は、暗号化された通信を推奨します。
当社の取り組み
報告が誠実に、かつ本プログラムに従って提出された場合、Dispelは以下を行います:
合理的な期間内に受領を確認する
報告された問題を検証および評価する
リスクと影響に基づいて修復の優先順位を付ける
迅速な解決に向けて取り組む
適切な場合は公開開示の調整を行う
解決までの期間は、複雑さ、運用上の考慮事項、および安全性への影響により異なる場合があります。
Dispelは協調的な脆弱性開示を支持します。研究者には、当社が調査および修復するための合理的な機会を得るまで公開開示を控えていただくようお願いします。適切な場合には、公開時期および内容について調整することがあります。積極的な悪用の証拠や重大なリスクがある場合には、Dispelは顧客および影響を受ける関係者を保護する意図で情報を開示することがあります。
Dispelは、誠実に脆弱性を特定・報告し、本ポリシーに従い、損害を避け、問題に対処するための合理的な機会を提供した個人に対して法的措置を開始しません。このセーフハーバーは、適用法に違反する行為、プライバシーの侵害、サービスの妨害、またはここに記載された許可されたテストの範囲を超える行為には適用されません。
研究者への期待
研究者は誠実に行動し、データの機密性、システムの完全性、サービスの可用性、または安全性を損なう可能性のある行為を避ける必要があります。テストは脆弱性の存在を示すために必要な範囲に限定するべきです。自分に属さないデータのアクセス、改変、または持ち出しは許可されていません。誤って機密情報にアクセスした場合は、直ちにテストを中止し、そのデータを保持、複製、または開示することなく Dispel に通知する必要があります。
本プログラムの参加者は以下を遵守する必要があります:
誠実に行動し、害を引き起こさないこと
対象システムのみをテストすること
自分に属さないデータのアクセス、改変、または保持を避けること
意図せず機密データにアクセスした場合は直ちにテストを中止し、速やかに報告すること
Dispelが調査および修復するための合理的な機会を得るまで公開開示を控えること
セーフハーバー
Dispelは本プログラムに従い誠実にテストを行う研究者に対して法的措置を追求しません。このセーフハーバーは、本ポリシーと整合する活動にのみ適用され、違法行為、プライバシー侵害、サービスの中断、または定義された範囲外のテストには適用されません。
表彰
Dispelは公開のバグバウンティプログラムを運営していません。責任ある開示に対する表彰は当社の裁量で行われる場合があります。
セキュリティ報告は次に送ってください [email protected]。一般的な法務に関する問い合わせは次にご連絡ください [email protected].
当社はセキュリティ研究コミュニティの努力に感謝しており、お客様が依存するサイバー物理システムおよび環境を保護するための責任ある協力を重視します。
最終更新