脆弱性報告 / セキュリティポリシー

vibely のセキュリティ向上にご協力いただきありがとうございます。

基本方針

当サービスでは、利用者のデータとシステムの安全性を最優先とし、発見された脆弱性には速やかな調査と修正を行う体制を目指します。

報告対象の例

• XSS / SQL Injection / SSRF / CSRF などの一般的なWeb脆弱性
• 認可バイパスや権限昇格
• 機密情報の過度な露出（ログ / エラーメッセージ等）
• 認証フローの欠陥
• レートリミット欠如によるアカウント列挙など

報告に含めてほしい情報

• 再現手順（できる限り具体的に）
• 影響範囲と潜在的なリスク
• 利用したアカウント種別（一般ユーザー / 管理者など）
• PoC（可能であればスクリーンショットや最小コード）

報告手段

現時点では、専用フォーム / セキュリティメールアドレスを準備中です。準備完了までの間は暫定として、運営チームの代表窓口へご連絡ください。

禁止事項

• 他ユーザーのデータ閲覧や破壊を目的とした過度な操作
• サービスの可用性を阻害する負荷試験
• プライバシー侵害行為（個人情報の収集・公開など）

取扱いフロー（予定）

1. 報告受領（受付番号または簡易返信）
2. 初期トリアージ（再現確認・深刻度仮決定）
3. 修正計画の立案と実装
4. リグレッションテスト
5. 必要に応じて利用者向け告知

謝辞

ご報告いただいた方への謝辞掲載や簡易的な報奨制度の導入も検討しています。

最終更新日: 2025-09-27