イントロダクション

VulnCheck Report A Vulnerability は、脆弱性を責任を持って開示するために VulnCheck へ報告することを容易にします

VulnCheck は、脆弱性を責任を持って開示できるよう、可能な限り簡単に報告できる仕組みを提供しています。

脆弱性の報告

VulnCheck では、以下の URL から簡単に脆弱性を報告できます:
https://vulncheck.com/advisories/report

多言語サポート

VulnCheck の脆弱性報告サービスは、追加の言語サポートを求める多くのリクエストを受けました。その結果、現在は英語、オランダ語 (Nederlands)、ロシア語 (Русский)、簡体字中国語 (简体中文)、繁体字中国語 (繁體中文)、韓国語 (한국어)、およびペルシア語 (فارسی) をサポートしています。今後さらに多くの言語への対応を予定しています。

## なぜ脆弱性をVulnCheckに報告する必要があるのか?

VulnCheckは研究者と直接連携し、脆弱性の開示調整や影響を受けるサプライヤーとのコミュニケーション管理を行います。これにより、お客様は開示プロセスに費やす時間と労力を最小限に抑えつつ、脆弱性が責任ある一貫した方法で確実に処理されるようにすることができます。また、研究者への適切な功績の帰属も保証されます。

VulnCheckの脆弱性報告サービスはどのように機能するのでしょうか?

脆弱性の技術的な詳細情報をVulnCheckにご提出ください。特定のフォーマットは必要ありません。また、最初の質問は最小限に抑えるよう努めています。とはいえ、詳細な技術情報をご提供いただくことで、問題の検証と対応をより効率的に進めることができます。

ご提出後、VulnCheckが情報開示プロセスをすべて担当し、各段階で状況をご報告いたします。 報告は以下の方法でご提出いただけます。 ウェブポータル メール:disclosures@vulncheck.com

脆弱性を報告する際に必要な情報は?

提出される情報は、未確認の脆弱性に関する公開情報から、再現手順と概念実証を含む詳細な技術レポートまで多岐にわたります。最低限、CVEレコードを作成したり、サプライヤーとの連携を開始したりするために十分な情報を提供していただくようお願いしています。

ウェブフォームをご利用の際は、以下の情報をご提供いただく必要があります。

  • ベンダー名
  • 製品名
  • 影響を受けるバージョンおよびテスト済みのバージョン
  • 脆弱性の詳細:問題の明確な説明、影響、悪用方法(再現手順、可能であれば概念実証を含む)
  • VulnCheckに情報開示の調整を依頼するかどうか
  • 以前にMITREにCVEを申請したが回答が得られなかったかどうか
  • 脆弱性が既に一般公開されているかどうか(該当する場合は参照情報を含む)
  • 調整された情報開示日以降に調査結果を公開する予定があるかどうか

以下は、包括的なCVD(顧客価値提案)提出書類の例です。この形式を用いることで、情報収集からベンダーへの連絡までを迅速に進めることができます。

VulnCheckからどのようなタイムラインを期待すればよいでしょうか?

アナリストが1営業日以内にご連絡いたしますので、お待ちください。

  • 公開済みの脆弱性や既に調整済みのケースに対するCVE番号の割り当ては、通常数時間以内に行われます。
  • 調整済みの情報開示の場合、VulnCheckにおける最初の報告から一般公開までの平均期間は約48日であり、当社の120日間の情報開示ポリシーの範囲内です。

アナリストが1営業日以内にご連絡いたしますので、お待ちください。

公開済みの脆弱性や既に調整済みの案件に対するCVE割り当ては、多くの場合数時間以内に行われます。 VulnCheckはCVEを割り当てますか?

はい。適切な調整を行った後、VulnCheckは、対象範囲と所有権に応じて、CVEを直接発行するか、最も適切なCVE採番機関と協力して対応します。

もし私の脆弱性がすでに公開されていて、CVE IDだけが必要な場合はどうすればいいですか?

VulnCheckはCVE番号付与機関であり、CVE IDを直接発行することも、必要に応じて割り当てを調整することも可能です。

VulnCheckは報奨金制度を提供していますか?

いいえ。VulnCheckは脆弱性の報告に対して金銭的な報酬を提供していません。

VulnCheckが情報開示を行わないケースはありますか?

VulnCheckが脆弱性開示の調整を拒否するケースは限られています。

  • CVEの対象外である場合
    • CVEの対象となるかどうかを判断するお手伝いはできますが、CVEの割り当て対象とならない問題については、開示の調整は行いません。
  • 問題を再現できない場合
    • VulnCheckもサプライヤーも、合理的な試みを行った後も脆弱性を検証できない場合、ケースをクローズする可能性があります。
  • 情報公開禁止期間(エンバーゴ)違反
    • 研究者が合意された情報公開禁止期間を破った場合、VulnCheckは今後の調整を拒否する可能性があります。
  • 非倫理的または不正な方法による発見
    • 許可なく本番システムでテストを行うことによって発見された脆弱性については、調整は行いません。

VulnCheckの「脆弱性報告」サービスは法的拘束力を持つのでしょうか?

いいえ、このサービスには法的権限はありません。当社は脆弱性開示ポリシーを遵守しています。参加者の皆様には、協調的な開示プロセスにおいて相互の開示禁止期間を尊重していただくようお願いいたします。研究者はいつでも開示禁止期間を破ることを選択できますが、その場合、VulnCheckは将来のサービス提供を拒否する権利を留保します。

FAQ

オープンソース