このドキュメントは、セキュリティ脆弱性の報告方法とサポート対象バージョンについて説明する。
| バージョン | サポート状況 |
|---|---|
| 1.x.x | サポート中 |
セキュリティ脆弱性を発見した場合は、以下の手順で報告すること。
- 公開 Issue を作成しない - 脆弱性の詳細を公開すると悪用されるリスクがある
- GitHubの Security Advisory 機能を使用して非公開で報告する
- 脆弱性の種類(例: XSS、インジェクション、認証バイパスなど)
- 影響を受けるファイルやコンポーネント
- 再現手順
- 影響範囲の説明
- 修正案や緩和策(把握している場合)
- 受領確認: 報告受領後、3営業日以内に確認の連絡をする
- 調査: 報告内容を調査し、影響範囲を特定する
- 修正: 脆弱性が確認された場合、修正パッチを作成する
- リリース: 修正版をリリースし、セキュリティアドバイザリを公開する
- クレジット: 報告者の希望に応じて、修正リリースノートでクレジットを記載する
- 信頼できるソースからのみプラグインをインストールする
- プラグインのコードを確認し、不審な動作がないか確認することを推奨する
- ユーザー入力を適切にサニタイズする
- シークレット(APIキー、トークンなど)をコードにハードコードしない
pnpm lint:secretlintを実行して、シークレットの漏洩がないか確認する
現在、既知のセキュリティ問題はない。