セキュリティ問題の報告
Acquiaの製品やサービスにセキュリティ上の問題や脆弱性を発見された場合は、機密情報として弊社までご報告いただきますようお願いいたします。
責任ある脆弱性開示
Acquiaでは、製品のセキュリティを非常に重要視しています。スタッフにはセキュリティのベストプラクティスを教育し、開発プロセスには品質保証の手順を組み込んで、製品が高品質で安全であることを保証しています。しかし、すべての複雑なソフトウェア製品と同様に、当社の製品にもセキュリティ脆弱性が存在する可能性があります。
詳細については、当社のセキュリティチーム [email protected]までメールでお知らせください。責任ある脆弱性開示を高く評価しており、以下のパラメータに従って、問題を報告していただいたセキュリティ研究者の方々に謝意を表します。
Acquiaでは現在、バグバウンティプログラムは実施しておりませんが、研究者の方のお名前と、ご希望のアドレス(TwitterやPersonal websiteなど)へのリンクを、下記の殿堂にて喜んでご紹介いたします。
パラメータと除外項目
パラメータ
- Acquiaまたはその顧客のデータにアクセス、破壊、または悪影響を与える行為は一切行わないでください。
- 自動スキャナーを使用しないでください。(自動スキャナーの使用は調査対象となり、IPアドレスがブロックされる可能性があります。)
- 研究中にプライバシー侵害やAcquiaのサービスの中断または品質低下を避けるよう善意の努力を行ってください。(例:サービス拒否攻撃)
- Acquiaの従業員、オフィス、またはデータセンターに対して物理的または電子的な攻撃を行わないでください。
- Acquiaがお客様のレポートを調査し、必要な修正措置を実行するための合理的な時間を確保してください。
- 法律に違反したり、既存の契約に違反したりしないでください。
対象外項目
- 表示されるサーバーソフトウェアのバナーやその他のバージョン情報
- 詳細なエラーメッセージ
- HTTPセキュリティヘッダーの不備(例:X-Frame-Options)
- SPFレコードの不備または不正確な設定
- 匿名ユーザーが利用可能なフォームのCSRF脆弱性
- ユーザー名・メールアドレスの列挙
- 公開されている既知ファイルの開示(例:robots.txt)
研究者の皆様がこれらのパラメーターを遵守される限り、Acquiaは法的措置を取ることはございません。Acquiaは、実証済みかつ十分な重要度を持つ問題を報告した研究者の方のみにクレジットを付与する権利を留保いたします。
送信詳細
以下のような関連する詳細情報をできる限り多く提供してください:
- 脆弱性がどのように悪用される可能性があるか、およびその潜在的な影響。
- 脆弱性をどのように発見したか、および再現するための明確な手順。
- 概念実証攻撃や攻撃ベクトルを示す画像など。
- 脆弱性を軽減するための既知のパッチや対策。
ありがとうございます
セキュリティ殿堂
過去にAcquiaに対して脆弱性を責任を持って開示していただいた以下の方々に特別な感謝を申し上げます:
- Harshal Bafna - LinkedIn
- Bharat Adhikari | LinkedIn
- Mohit Kumar - LinkedIn
- Corrie Sloot - LinkedIn
- Ramlal - LinkedIn
- Smriti Chandravanshi - LinkedIn
- S M Tarikul Alam - LinkedIn
- Guillermo Gregorio - LinkedIn
- Gaurang maheta - LinkedIn
- Raghav Khandelwal | LinkedIn
- Tim Koopmans | Twitter
- Mansoor Rangwala | LinkedIn
- Ravi Pavan | LinkedIn
- Rachit Verma | LinkedIn
- Chris Davis | Twitter
- Vincenzo De Naro Papa | Twitter
- Marek Jílek | www.mjilek.cz
- Anshuman Pattnaik | Twitter, hackbotone.com
- Jubin Sharma | Twitter
- Sarvagya Sonkar | LinkedIn
- Naveen kumawat(nvk) | Twitter
- Ausaf Liaquat
- Amjad Kabaha - Facebook
- Prakash Kumar - LinkedIn
- Vishal Panchani (gujjuboy10x00) - Twitter
- Ronak Nahar (naharronak) - LinkedIn
- Chirag Gupta (chiraggupta8769) - LinkedIn
- Shoeb "CaptainFreak" Patel - Twitter
- Gokul Babu (gokul-babu-452b3b112) - LinkedIn
- Suhas Gaikwad (iamsuhasgaikwad) - Twitter
- S.Vijay (cracbaby) - Twintech Solutions - Facebook
- Fabio Pires (fabiopirespt) - Twitter
- Francesco Mifsud (gradiusx) - Twitter
- Cody Zacharias
- Kamil Sevi (kamilsevi) - Twitter
- Emanuel Bronshtein (e3amn2l) - Twitter
- M.R.Vignesh Kumar (vigneshkumarmr) - Twitter
- Prajal Kulkarni
- Himanshu Kumar Das (mehimansu) - Twitter
- Ajay Singh Negi
- Atulkumar Hariba Shedage
- Chiragh Dewan (ChiraghDewan) - Twitter
- Rafay Baloch (rafayhackingarticles.net)
- SimranJeet Singh
- Adam Ziaja (adamziaja.com)
- Piyush Malik (ThePiyushMalik) - Twitter
- Harsha Vardhan
- Wan Ikram (rinakikun) - Twitter
- Krutarth Shukla
- Narendra Bhati (narendradewsoft)- Facebook
- Ahmad Ashraff (yappare) - Twitter
- Tejash Patel & Parveen Yadav
- Joeri Poesen
- Vedachala (vedachalaka) - Twitter
- Sebastian Neef & Tim Schäfers
- internetwache - Twitter
- Vinesh Redkar (AVsecurity.in)
- Samandeep Singh
- Dhaval Chauhan (17haval) - Twitter
- Nitesh Shilpkar
- Umraz Ahmed (umrazahmed) - Twitter
- Ehraz Ahmed (securityexe) - Twitter
- Jigar Thakkar (Infobit Technologies)
- Tushar. R. Kumbhare (Defencely)
- Siddhesh Gawde
- Frans Rosén (www.detectify.com)
- Chirag Paghadal
- Yuji Kosuga (yujikosuga) - Twitter
- Rafael Pablos (silverneox.blogspot.com)
- Reegun Richard Jayapaul (reegun) - LinkedIn
- Nitin Goplani (nitingoplani) - LinkedIn
- Yogesh Modi
- Ali Hassan Ghori
- Turzo Ahmed
- Ashesh Kumar
- Muhammed Gamal Fahmy - Facebook
- Mandeep Singh Jadon
- Kiran Karnad
- Akshay Pandurangi - Facebook
- Somesh Yadav
- Naveen Ramesh
- Omar HAMMOU (https://hackerone.com/xramos)