概要
この記事で説明するように、Zendeskは脆弱性を報告されたセキュリティリサーチャーの方と積極的に連携します。当社は、セキュリティとプライバシーへの取り組みを支援するために、脆弱性の検証、対応、修正を行います。当社は、セキュリティ上の脆弱性を発見し報告した方に対して、法的措置を講じたり、サービスへのアクセス停止および終了を行うことはありません。Zendeskは、コンプライアンス違反があった場合、すべての法的権利を留保します。
どうすれば参加できますか?
セキュリティの脆弱性を発見した場合は、次の手順に従って報告することをお勧めします。
- まだアカウントをお持ちでない場合は、hackerone.comでアカウントを登録してください。
- 脆弱性が疑われる場合は、レポートを提出して情報を共有します。 詳細については、当社のResponsible Disclosure Policy(責任ある開示方針)ページをご覧ください。
- 当社のセキュリティ運用チームが報告者のレポートを評価し、レポートのステータスを報告者に通知します。
- 許容できるリスクではあるが、セキュリティに関連する挙動を示すレポートは、「情報」としてクローズされます。
- 同一のレポートは、元のレポートの「重複」としてマークされます。元のレポートには、「トリアージ」、「該当なし」、または「情報」のマークを付けることができます(ただし、これ以外のマークが付く場合もあります)。 - その脆弱性が確認され、初めて報告されたものである場合、当社のチームが報告者と連絡を取り、報奨金の条件について話し合います。 その脆弱性が以前に報告されていたものである場合、褒賞金は支払われません。
報告に関するガイドライン
レポートには、以下の情報を含めてください。
- 脆弱性のあるURL:脆弱性が発生したエンドポイント
- 脆弱性のあるパラメータ:該当する場合、脆弱性が発生するパラメータ
- 脆弱性のタイプ:脆弱性のタイプ
- 脆弱性の説明:問題の詳細な説明
- 再現手順:問題の再現方法の手順
- スクリーンショットまたはビデオ:攻撃のデモ
- 攻撃シナリオ:攻撃シナリオの例は、リスクを実証し、問題を迅速に解決するのに役立ちます
より詳しい情報はどこで入手できますか?
この記事は、ZendeskのBug Bountyプログラムの概要を簡単にお知らせするものです。詳細については、こちら(https://hackerone.com/zendesk)の公式投稿をご覧ください。
翻訳に関する免責事項:この記事は、お客様の利便性のために自動翻訳ソフ トウェアによって翻訳されたものです。Zendeskでは、翻訳の正確さを期すために相応の努力を払っておりますが、翻訳の正確性につ いては保証いたしません。
翻訳された記事の内容の正確性に関して疑問が生じた場合は、正式版である英語の記事 を参照してください。
0件のコメント