Security Researcher Hall of Fame
We maintain a Security Researcher Hall of Fame to thank individuals who have discovered medium or high vulnerabilities and worked with us to resolve them.
To be included on this list, responsibly disclose a security report to us, and provide adequate time to fix the issue.
We’d be happy to link to your professional website and/or send you CircleCI swag.
CircleCI のセキュリティ問題を見つけたときは…
なりすましメールや DKIM レコードなどの対策は十分に行っておりますが、次のような点にお気付きになった場合には、当社までご連絡ください。
- インジェクション脆弱性
- 認証やセッションに関する問題
- 機密情報への不正アクセス
- アクセス制御の不良
- クロスサイト スクリプティング
- OWASP Top 10 に提示されている問題
- メールスプーフィング、SPF、DKIM、およびDMARCのエラー
CircleCI では、以下のバグおよびレポートには対応していません。
- Credentials in a 3rd party's
.circleci/config.yml
脆弱性を発見された場合は、ユーザーの皆様のデータが保護されるよう、以下の手順でのご対応をお願いいたします。
- 速やかに CircleCI にご連絡ください。
- お客様のプライベート データは使用せず、ダミーのデータおよびアカウントでテストを行ってください (テスト用に無料アカウントが必要な場合にはお知らせください)。
- お知らせいただいた情報を踏まえて CircleCI が脆弱性への対処を行います。終了するまで、外部への開示はお控えください。
CircleCI では、バウンティ プログラムは実施しておりません。
CircleCI では、脆弱性の発見に対する報奨金はご用意しておりません。インターネット エコシステムの健全化のため、作業中に脆弱性に気づかれた場合には、お手数ですが当社までお知らせくだいますようお願いいたします。
セキュリティ上の懸念事項を CircleCI に
報告する
CircleCI の脆弱性を見つけた場合には、当社のセキュリティ チーム (security@circleci.com) までメールでご連絡ください。
機密情報にかかわる問題を報告するときには、当社セキュリティ チームの GPG キーを使用してメッセージを暗号化してください (ID: 0x4013DDA7、フィンガープリント: 3CD2 A48F 2071 61C0 B9B7 1AE2 6170 15B8 4013 DDA7)。
security@circleci.com に送信