前回更新日:2019年9月5日
クラーケンセキュリティラボは、一般的に使用されるアプリケーション、ハードウェア、製品のセキュリティについての調査を日常的に実施しています。この調査は、そのようなサービスと製品のエンドユーザーの啓発と保護のために行われています。この方針では、クラーケンセキュリティラボが、サードパーティーの製品とサービスにセキュリティの脆弱性を発見した場合に責任を負うべき脆弱性開示の取り扱い方法の概要を示しています。
クラーケンセキュリティラボは、該当するベンダーに対して、その製品かサービスまたはその両方に存在するセキュリティの問題について通知します。初回の連絡は、ベンダーのウェブサイトに列記された適切な連絡先または正式な連絡方法で行います。そのような連絡先情報が記載されていない場合、クラーケンセキュリティラボは適切な連絡手段を発見するための最善の努力を行います。正式または適切な連絡方法が発見された場合は、脆弱性についての関係情報をセキュアな方法でベンダーに伝達します。
初回の通知から5営業日以内にベンダーからの受信通知がない場合、クラーケンセキュリティラボは、ベンダーに対する2回目の連絡を開始します。クラーケンセキュリティラボは、上記のようなベンダーへの連絡手段をすべて使い尽くした場合、初回連絡から15営業日経過後、発見した問題を開示する公開安全勧告を発行することがあります。
上記の期限内にベンダーからの応答が受信された場合、クラーケンセキュリティラボはベンダーに対して、希望の改善期限を指定するように要求します。クラーケンセキュリティラボは、ベンダーに対して、パッチによる脆弱性対処までの期間として、暦日で90日間までを認めます。この期限の経過後またはそれ以前(ベンダーからの通知があった場合)に、脆弱性にパッチが当てられた場合、またはベンダーから応答がない場合、もしくは脆弱性が修正されていない理由について妥当な申告をベンダーが提出できない場合、クラーケンセキュリティラボは、エンドユーザー保護のための対策として緩和手段の推奨事項を含む公開の勧告を発表します。
クラーケンセキュリティラボは、ベンダーが技術的細部と報告された安全性の問題の深刻度を確実に理解できるように、ベンダーと協働してあらゆる努力を行います。製品のベンダーが特定のセキュリティの問題にパッチを当てることができないか、パッチを当てないことを選択する場合、有効な対処策を添えて問題を開示するため、クラーケンセキュリティラボがベンダーとの協働作業を提案することがあります。
クラーケンセキュリティラボが、その製品またはサービスのエンドユーザーの安全が危険に曝されているため、脆弱性の緊急警告を広く公衆に発表することが適切だと考える場合、クラーケンセキュリティラボはその知見についてベンダーと一般大衆に同時に勧告するものとします。クラーケンセキュリティラボは、ベンダーへの連絡において、その知見を直ちに公開するという決定に使用する要因を一覧で示すものとします。