Hexagon 脆弱性開示プログラム

ポリシー  

Hexagonの製品によって管理されるユーザーデータの安全性とセキュリティは、Hexagonのビジョンと使命を支える重要な要素です。当社は当社製品のセキュリティに対する外部のセキュリティ調査コミュニティの協力を歓迎します。当社の製品にセキュリティのバグが見つかった場合、私たちはその問題を解決するために尽力します。

私たちは常に改善を目指しています。Hexagon脆弱性開示プログラム(VDP)の改善方法に関するセキュリティに関するご質問またはご提案は、こちら(information.security@hexagon.com)までお問い合わせください。

適用範囲の製品

Hexagonの製品チームが選んだ製品が対象となります。これらの製品は、製品選択リストレポートフォームに表示されます。リストにない製品はVDPから除外されます。リストにない製品は、製品リストの [ 全般 ] カテゴリを使用して脆弱性レポートを受け取ることができます。レポートは、合理的な努力に基づいて評価されます。

公開情報

当社は、セキュリティに関する透明性を信じています。発見された有効な脆弱性 / 欠陥は、常に製品リリース文書に報告されます。

適格性および責任ある開示

脆弱性の発見と報告を促進し、ユーザーの安全性を高めるために、当社は以下をお願いしています。

  • セキュリティ問題を詳細にお知らせください。
  • 既存のアプリケーションを尊重してください。自動化された脆弱性スキャナーによるフォームのスパム送信は、責任ある開示ではありません。
  • 何らかの情報を公表する前に、当社に問題の対処に妥当な時間を与えてください。
  • 所有者の明示的な許可がない限り、当社のデータまたはユーザーのデータにアクセスしたり、変更したりしないでください。ご自身のアカウントのみ、またはセキュリティ調査目的のみでテストアカウントとやり取りしてください。
  • 偶然にユーザーデータを閲覧した場合、直ちに当社にご連絡ください。データを表示、変更、保存、保管、転送、またはアクセスしないでください。また、Hexagonに脆弱性を報告したら、直ちにローカル情報を削除してください。
  • プライバシー違反、データの破壊、弊社サービスの中断または劣化(サービス拒否を含む)を防止するために、誠実に行動してください。
  • それ以外の場合は、すべての適用法を遵守してください。

ベストプラクティスレポート

お客様のレポートができるだけ効果的になり、開発チームによるバグの評価と再現を確実にするために、バグレポートには以下のベストプラクティスを提案します。

  1. 脆弱性の実際の影響と潜在的な影響、およびこれらの影響がどのように利用されるかについての詳細の情報を含んでより強力なレポートを作成してください。
  2. バグの検出に使用した方法と、それを再現する手順を含めてください。
  3. バグが検証されたことを確認した後でのみ、結果を送信してください。
  4. 英語での提出が推奨されますが、十分な詳細で英語で提出できない場合は、母国語で報告を提出してください。

対象外の脆弱性

  • 以下の問題はVDPの範囲外です:
  • パスワード、電子メール アドレス、アカウント ポリシー(電子メール ID の検証、リンクの有効期限のリセット、パスワードの複雑さなど)。
  • 当社製品への物理的アクセスを必要とする調査。
  • 脆弱性に直接つながらないセキュリティヘッダーの欠落。
  • ベストプラクティスの欠如(セキュリティの脆弱性の証拠が必要です)
  • 既知の脆弱性のあるライブラリの使用(悪用可能性の証拠がない)。
  • 自動化されたツールまたはスキャンからのレポート。
  • 攻撃者のアプリが当社アプリにオーバーレイする許可を必要とする攻撃(例えば、タップまたはクリックジャック)。
  • ユーザーのサポートされていないブラウザまたはプラットフォームに影響を及ぼす脆弱性。
  • Hexagonの従業員または契約業者のソーシャルエンジニアリング。
  • Hexagonの資産またはデータセンターに対する物理的な攻撃。
  • ウェブフォームに存在するオートコンプリート属性。
  • 機密性の低いクッキーのフラグの欠落。
  • 特定のユーザー名、電子メールアドレスに Hexagonアカウントがあるかどうかを知る方法を説明するレポート。
  • 対象ユーザーがルート化された携帯機器の操作を必要とする場合のデータへのアクセス。
  • 新たな特権の取得方法を示さないダイナミック リンク ライブラリ(DLL)のハイジャックに関するレポート。
  • 認証に関連しない限り、レート制限を行わないこと。
  • パスワードの変更時にリンクを解除しないデバイス(iOS、android、デスクトップアプリ)。

本ポリシーの遵守結果

当社は、本方針の偶発的な善意の違反について、民事訴訟を追求したり、法執行機関に苦情を申し立てたりすることはありません。当社は、このポリシーに従って行われた活動を、コンピューター不正行為防止法下での「許可された」行為と見なします。お客様の活動が当社の利用規定の特定の制限に矛盾する場合、本ポリシーに基づくセキュリティ調査を許可する限定された目的でこれらの制限を解除します。当社は、適用範囲内のアプリケーションを保護するために使用した技術手段を回避するために、デジタルミレニアム著作権法(DMCA)の請求権をお客様に提起することはありません。

お客様の報告がHexagonのビジネスパートナーの脆弱性に関する場合、Hexagonは、報告された脆弱性の試験と解決を促進するために、お客様の身元を含め、提出内容全体をビジネスパートナーと共有する権利を留保します。第三者がお客様に対して法的措置を開始し、お客様が HexagonのVDPを遵守している場合、Hexagonは、お客様の措置が本ポリシーに従って実施されたことを告知するための措置を講じます。

Hexagonは、独自の裁量で、Hexagon製品への無料アクセスを提供する場合があります。このアクセスは、お客様のテストを有効にする目的でのみ行われ、事前の通知の有無にかかわらず、いつでも取り消すことができます。

Hexagonは現在、バグバウンティ(脆弱性発見報奨金制度)を運営していません。脆弱性開示プログラムの下で Hexagonに通知されたすべての通知は、善意に基づき、より広いコミュニティの最善の利益のために作成されます。