セキュリティポリシー / 脆弱性報告
YFM 合同会社(以下「当社」)は、Clipes を安全にご利用いただくため、 外部セキュリティ研究者の皆さまからの脆弱性報告を歓迎しています。 本ページは、脆弱性を発見された際の報告窓口および対応フローを定めたものです。
1. 連絡先
| 脆弱性報告メール | yamaguchi@dant-kiwameru.jp |
|---|---|
| 対応言語 | 日本語 / English |
| 対応時間 | 平日 9:00–18:00 JST(緊急性の高い案件は別途ご相談ください) |
| PGP 公開鍵 | 現時点では公開していません。 |
※ 当面は上記メールアドレスをセキュリティ連絡先として兼用しています。 将来 security@clipes.io の開設を予定しています。
2. 対応フロー
- 報告受領:当社は、報告の受領を原則として 2 営業日以内にご返信します。
- 一次調査:報告内容を確認し、再現・影響範囲の特定を行います。
- 修正対応:リスクレベルに応じて優先度を判断し、影響が大きいものから順に修正を実施します。
- 通知:修正完了後、報告者に結果をご連絡します。必要に応じて影響を受けた利用者にも通知します。
3. ご報告いただきたい情報
- 脆弱性の概要および想定される影響
- 再現手順(該当 URL、入力値、必要な権限等)
- 利用ツール・環境(ブラウザ・OS 等)
- ご連絡先(返信可能なメールアドレス)
4. 禁止事項
報告にあたっては、以下の行為をお控えください。 これらの行為によって生じた損害について、当社は責任を負いません。
- 実サービス環境に対する過度な負荷試験、DoS/DDoS 攻撃
- 他の利用者のデータへのアクセス、改ざん、破壊
- ソーシャルエンジニアリング(当社従業員等への詐術的接触)
- 脆弱性の第三者への開示(修正完了の相互確認がなされる前)
5. security.txt
RFC 9116 に準拠した security.txt を以下の URL に公開しています。