セキュリティ脆弱性開示ポリシー
脆弱性を発見した場合は、当社の送信ページからバグを送信してください
Silicon Laboratories Inc.(「Silicon Labs」、「私たち」、または「当社」)は、当社のビジネスとお客様の安全を守るために、セキュリティ・コミュニティと協力して脆弱性を発見することを楽しみにしています。
Silicon Labs では、当社製品とインフラストラクチャのセキュリティは、私たちのビジネスにとって不可欠です。セキュアな IoT 技術をリードするために、Silicon Labs は、セキュリティ研究者たちが組織、顧客、ユーザーの安全を守る上で果たす重要な役割を認識しています。私たちは、技術の弱点を特定して修正するには、熟練したセキュリティ研究者たちと協力し合うことが重要であると考えています。当社製品、サービス、またはインフラストラクチャに潜在的なセキュリティ脆弱性を発見した場合は、直ちに報告してください。皆様と協力して、この問題に迅速に対処できるよう最善を尽くすことを楽しみにしています。
脆弱性に関するコミュニケーション
製品やソフトウェアの脆弱性、または疑わしい機能は、顧客、Silicon Labs の従業員、研究者、その他の関係者によって報告される場合があります。セキュリティ上の脆弱性が疑われる場合は、以下のフォームに記入して提出してください。そのレポートは HackerOne に送信され、Silicon Labs の PSIRT/ESIRT チームにその提出内容が通知されます。レポートの確認とバグのトリアージは、当社の目標応答時間に従っておこなわれます。
セキュリティ通知の購読方法については、 こちらを参照してください。
回答対象
Silicon Labs は、本プログラムの参加者のために、以下の SLA を満たすべく合理的な努力を行っていきます。
回答の種類 | 営業日の ESIRT SLA | 営業日の PSIRT SLA |
---|---|---|
最初の対応 | 3 日 | 3 日 |
トリアージまでの時間 | 6 日 | 15 日 |
解決までの時間 | 重大度と複雑さによって異なる | 重大度と複雑さによって異なる |
開示方針
- 参加の条件として、お客様は、Silicon Labs からの明示的な同意なしに、このプログラムについて議論したり、プログラムの外の脆弱性(解決済みのものも含む)を開示しないことに同意するものとします。
- さらに、このプログラムに参加することで、お客様は HackerOne の開示ガイドラインに従うことに同意するものとします。
プログラムのガイドライン
当社、当社の顧客やユーザーを保護するために、お客様は以下のガイドラインに同意し、それを遵守する必要があります。
- Silicon Labs の事前の書面による許可なしに、潜在的なセキュリティ問題を第三者に開示しないこと。
- レポートは、再現可能なステップで十分な詳細を提供する必要があります。報告された問題を再現するのに十分な詳細がレポートで説明されていない場合、問題はトリアージ済みとしてマークされない可能性があります。
- 影響をもたらすために複数の脆弱性を連鎖させる必要がある場合を除き、レポートあたり 1 件の脆弱性のみとなります。
- 重複して受け取った場合、最初に受領した報告書のみがトリアージされます(ただし、完全に再生できることが条件)。
- 1つの根本的な問題に起因する複数の脆弱性は、1つの有効なレポートとして扱われます。
- プライバシーの侵害、データの破壊、当社サービスの中断や劣化を回避する。所有しているアカウントに対してのみやり取りは(またはアカウント所有者の明示的な許可に基づいて)。
- サービス拒否を行わないこと。
- 当社の顧客または潜在的な顧客に対するいかなるスパム行為にも関与しないこと。
- Silicon Labs の従業員または請負業者のソーシャル・エンジニアリング(フィッシングを含む)に関わらないこと。
- Silicon Labs の資産またはデータセンターに対する物理的な試みに関わらないこと。
- レポートが提出されると、Silicon Labs はすべてのレポートの受領確認を速やかに(提出から 3 営業日以内に)提供し、このプログラムを通じて報告される検証済みの脆弱性のステータスについて、お客様に合理的に通知します。
- 提出された報告書は、Silicon Labs の第三者プロバイダーによって受領および処理されます。
- お客様は、レポートの内容をいかなる目的にも使用できる権利を当社に付与します。
- レポートを提出しても、お客様と Silicon Labs との間に消費者、雇用、あるいは代理店関係は生じません。
- いかなる報酬の支払いは、Silicon Labs の単独の裁量によって行われるものとします。
- Silicon Labs は、このポリシーを随時更新される場合があります。
- このプログラムに参加することで、お客様は HackerOne の開示ガイドラインに従うことに同意するものとします。
Web 資産の範囲外となっている脆弱性
脆弱性を報告する際には、(1)攻撃のシナリオ/エクスプロイトの可能性、および(2)そのバグのセキュリティに対する影響について考慮してください。以下の問題は範囲外と見なされます。
- 機密性が高いアクションを含まないページのクリックジャッキング。
- 認証されていないフォーム、または機密性の高いアクションを含まないフォームのサイト間リクエストの偽造(CSRF)。
- ユーザーのデバイスへの MITM や物理的アクセスを要する攻撃。
- 機能する概念実証のない、既知の脆弱なライブラリ。
- 脆弱性を示していない、カンマ区切り値(CSV)のインジェクション。
- SSL/TLS 構成にベストプラクティスがありません。
- 当社サービス(DoS)の中断につながる可能性のあるアクティビティ。
- 攻撃ベクトルを表示しない HTML/CSS を変更できないコンテンツ・スプーフィングとテキスト・インジェクションに関する問題。
- 非認証エンドポイントにおける制限またはブルートフォースの問題を評価します。
- コンテンツ セキュリティ ポリシーのベスト プラクティスがありません。
- Cookie に HttpOnly または Secure フラグがありません。
- メールのベストプラクティスがない(無効、不完全、または SPF/DKIM/DMARC 記録がないなど)。
- 古いブラウザやパッチが適用されていないブラウザのユーザーのみに影響を与える脆弱性 [最新の安定したバージョン 2 件よりも安定したバージョンが少ない]。
- ソフトウェア・バージョンの開示/バナーの識別問題/説明的なエラーメッセージまたはヘッダー(スタックトレース、アプリケーションまたはサーバーのエラーなど)。
- タブナビング
- オープン・リダイレクト - 追加のセキュリティ影響が実証できる場合を除く。
- 好ましくないユーザーのやり取りが必要な問題。
安全ルール
本方針に定められた制限やガイドラインに従って実施される活動は、許可された行為とみなされ、当社はお客様に対する法的措置を取ることはしません。本ポリシーに基づいて実施される活動に関連して、第三者がお客様に対して法的措置を開始した場合、当社は、お客様の措置が本ポリシーに従って実施されたことを周知するための措置を講じます。
バグ・バウンティ・プログラム
Silicon Labs は HackerOne と提携し、当社のインフラストラクチャと製品をストレステストした倫理ハッカーに対して報酬を与えます。
現時点では、Silicon Labs の HackerOne 報奨金プログラムは招待制であり、これによって応答時間の優先順位付けとレポート品質の向上が実現します。ハッカーは、HackerOne サポートチームにご連絡ください。
提出フォーム
バグは送信ページから送信してください。
Silicon Labs と当社のユーザーの安全性を守るためにご協力いただきありがとうございます。