Kraken

脆弱性開示ポリシー

最終更新日:2019年9月5日

Kraken Security Labsは、一般的に使用されるアプリケーション、ハードウェア、および製品のセキュリティに関する調査を定期的に実施しています。このようなサービスや製品のエンドユーザーを教育し、保護するために、調査が行われています。 このポリシーでは、Kraken Security Labsがサードパーティの製品およびサービスのセキュリティ脆弱性を発見した場合、責任ある脆弱性の開示をどのように処理するかを概説しています。

Kraken Security Labsは、該当するベンダーに製品やサービスのセキュリティ上の欠陥を通知します。 最初の通知は、ベンダーのWebサイト上に掲載の適切な連絡先、または公的なメカニズムを通じて行われます。 連絡先情報が掲載されていない場合、Kraken Security Labsは適切な連絡先を見つけるため最善を尽くします。 公的な、または適切な連絡メカニズムが判明した場合、脆弱性に関する適切な情報が安全にベンダーに送信されます。

ベンダーが5営業日以内に最初の通知を確認できない場合、Kraken Security Labsはベンダーへ2回目の通知を行います。それでもなおベンダーへの通知が確認できない場合、Kraken Security Labsは最初の通知を試みてから15営業日後に調査結果を開示する公開勧告を発行する場合があります。

上記の時間枠内でベンダーの応答を受け取った場合、Kraken Security Labsは、ベンダーが修復に必要な時間枠を指定することを要求します。 Kraken Security Labsは、最大90日間、ベンダーがパッチで脆弱性に対処できるようにします。 締め切りまでに、または締め切りより早く(ベンダーから通知された場合)、脆弱性にパッチが適用された場合、またはベンダーが応答しない場合、または脆弱性が修正されない理由を合理的に説明できない場合、Kraken Security Labsは エンドユーザーを保護するために、緩和に関する推奨事項を含む公開勧告を発行します。

Kraken Security Labsは、ベンダーと協力して、報告されたセキュリティ上の欠陥の技術的な詳細と重大度を確実に理解できるよう、あらゆる努力をします。 製品ベンダーが特定のセキュリティ欠陥にパッチを適用できない場合、またはパッチを適用しない場合、Kraken Security Labsはそのベンダーと協力して、いくつかの効果的な回避策と共に、該当する欠陥を公開することを提案する場合があります。

Kraken Securityが、製品またはサービスのエンドユーザーに対するリスクまたは安全性のために脆弱性を公衆に即座に警告することが適切であると判断した場合、Kraken Security Labsはベンダーと公衆にその結果を同時に通知します 。 ベンダーとのコミュニケーションにおいて、Kraken Security Labsは、調査結果を直ちに公衆に公開することを決定する際の要因を提示するものとします。