CodeRabbit logo
2025129

脆弱性開示プログラム

hero background

脆弱性開示プログラム(Vulnerability Disclosure Program)

概要

CodeRabbit は、自社システムのセキュリティ確保およびユーザーのデータ保護を重視しています。セキュリティ研究者の皆様には、発見したセキュリティ上の脆弱性を責任ある形で開示していただくことを歓迎します。

対象システムの範囲

本ポリシーは、当社が所有、運用、または管理する、インターネットに公開されているすべての情報システム、アプリケーション、または Web サイトに適用されます。これには、CodeRabbit ドメインおよび関連するサブドメイン上でホストされる Web アプリケーションやモバイルアプリケーションが含まれます(以下、総称して「情報システム」)。

一方で、本ポリシーは、CodeRabbit ドメイン配下であっても、当社以外の第三者(サービスプロバイダーや業務委託先を含む)が所有、運用、または管理する情報システム、Web サイト、アプリケーションには適用されません。これらについては、各システムの責任ある開示方針に従ってください。

対象となる脆弱性の範囲

本ポリシーは、当社の情報システムに存在する可能性のある技術的な脆弱性を対象とします。これには、設定不備、CSRF(クロスサイト・リクエスト・フォージェリ)、権限昇格、SQL インジェクション、XSS(クロスサイト・スクリプティング)、ディレクトリトラバーサルなどが含まれます。

以下の脆弱性は、CodeRabbit の判断により、本ポリシーの対象外となります。

  • 実証可能な PoC を伴わない一般的なセキュリティ上の指摘、メールのベストプラクティス、または SSL/TLS 設定におけるベストプラクティス欠如
  • 物理的な侵入や物理的侵害
  • 非認証エンドポイントに対するレート制限やブルートフォースの問題
  • 内部関係者による侵害
  • ソーシャルエンジニアリング(フィッシングを含む)
  • リフレクテッド・ファイル・ダウンロード
  • アカウント乗っ取り(自身が所有しないアカウントへのブルートフォース攻撃を含む)
  • レッドチーミングや敵対的テスト
  • CodeRabbit ボットやその応答内容に関するコンテンツ上の問題
  • サービス拒否(DoS)攻撃
  • 機密操作を伴わないページでのクリックジャッキング
  • Cookie に HttpOnly または Secure 属性が設定されていないこと
  • 依存関係ハイジャック
  • 修正パッチが存在しない、または公開から 30 日未満の広く知られたゼロデイ脆弱性

脆弱性の報告方法

セキュリティ上の脆弱性を発見したと考えられる場合は、以下を実施してください。

  1. サポートページ から、脆弱性の詳細な説明を提出してください
  2. 再現手順を記載してください
  3. 必要に応じて PoC コードやスクリーンショットを提供してください
  4. ユーザーデータへのアクセスや改変は行わないでください
  5. 当社が対応する機会を得るまで、問題を公に開示しないでください

報告に含める内容

  • 想定される影響の説明
  • 攻撃シナリオ(該当する場合)
  • 脆弱性の種類
  • 技術的な詳細および再現可能な手順
  • 影響を受ける URL、パラメータ、エンドポイント

当社の対応方針

善意に基づくすべての報告は真摯に受け止めます。脆弱性を迅速かつ責任ある形で報告いただいた場合、当社は速やかに内容を評価します。当社の裁量により脆弱性が存在すると判断した場合、その存在を検証・確認したうえで、可能な範囲で適切な是正、緩和、または修正対応を速やかに実施します。

連絡先情報をご提供いただいた場合、追加情報の確認のために当社担当者からご連絡することがあります。また、以下を約束します。

  • 法令または裁判所命令により必要とされる場合を除き、同意なく氏名や連絡先を第三者に開示しません
  • 下記セーフハーバー条項に基づき、法的措置を講じません
  • 公開開示を行う場合、許可をいただければ、貢献者として氏名を記載します
  • 3営業日以内に受領確認を行います
  • 調査状況を適宜共有し、定められた期間内に調査および修正方針の確定に努めます

脆弱性スコアリング

当社の脆弱性スコアリングは、報告された脆弱性の深刻度および報奨額を判断するためのものです。CVSS 3.0 を参考にしていますが、当社のビジネス特性、セキュリティ優先度、インフラに合わせてカスタマイズしています。

スコアリング要素

  • ベーススコア要因
    • 攻撃ベクター(Network / Adjacent / Local / Physical)
    • 必要な権限(None / Low / High)
    • ユーザー操作(None / Required)
    • 影響範囲(Changed / Unchanged)
  • 影響指標
    • 機密性への影響(High / Low / None)
    • 完全性への影響(High / Low / None)
    • 可用性への影響(High / Low / None)

スコア範囲

スコアは 0.0 から 10.0 までで、以下の深刻度に分類されます。

  • Critical: 9.0 – 10.0
  • High: 7.0 – 8.9
  • Medium: 4.0 – 6.9
  • Low: 0.1 – 3.9

スコア算出方法

最終スコアは以下を評価して算出します。

  1. ベーススコア:脆弱性の基本特性
  2. 時間的スコア:攻撃手法の成熟度や修正状況
  3. 環境スコア:CodeRabbit のインフラにおける具体的影響

報奨金

責任ある開示に対して、深刻度に応じた金銭的報奨を提供します。

  • Critical: $5,000 – $20,000
  • High: $1,000 – $5,000
  • Medium: $500 – $1,000
  • Low: $100 – $500

セーフハーバー(Safe Harbor)

本ポリシーに従って実施される脆弱性調査は、以下の条件を満たすものとみなします。

  • 米国 Computer Fraud and Abuse Act(CFAA)および類似の州法・国内法に基づき、許可された行為
  • DMCA(デジタルミレニアム著作権法)の適用除外対象であり、技術的保護手段の回避を理由とした請求を行いません
  • セキュリティ研究を妨げる利用規約上の制限を、本ポリシーに基づく範囲で免除します
  • 善意に基づき、インターネット全体のセキュリティ向上に資する合法的な行為

セーフハーバーの適用条件は以下のとおりです。

  • プライバシー侵害を回避し、情報システムに損害を与えないよう最大限配慮すること
  • 脆弱性の存在を証明するために必要最小限を超えて悪用しないこと
  • 本ポリシーおよび関連する契約を遵守すること
  • 自身が所有するアカウント、または明示的な許可を得たアカウントのみを使用すること
  • テスト以外の目的で脆弱性を利用しないこと
  • 発見した脆弱性を速やかに報告すること
  • 報告の条件として金銭や対価を要求したり、不適切な開示を示唆する脅迫を行わないこと
  • 書面による事前承認なく第三者や公衆に開示しないこと
  • 他者のデータや機密情報にアクセス・改変・利用しないこと
  • 取得したデータを持ち出し、保存、保持しないこと
  • OFAC 制裁対象者リスト等に該当せず、米国政府制裁国に居住していないこと

セーフハーバーは以下に適用されます。

  • 対象範囲内のシステムに対するセキュリティ研究
  • 調査中に偶発的に発見された問題
  • 自動化ツールで発見され、手動で検証された脆弱性

以下の場合、セーフハーバーは適用されません。

  • 対象範囲外のシステムへのテスト
  • 従業員に対するソーシャルエンジニアリング
  • オフィスやデータセンターへの物理的侵入
  • 他ユーザーやシステムに影響を与える方法での研究

セーフハーバー条項は変更される場合がありますが、変更前の条件下で実施された行為は引き続き保護されます。

お問い合わせ

本プログラムに関する質問は、サポートページ からお問い合わせください。

注: 本脆弱性開示プログラムは予告なく変更される場合があります。

ご質問はこちらから

お問い合わせ