ゆにぱけスキャナーのセキュリティに関する方針と脆弱性報告について説明します。
現在サポートされているバージョンは以下の通りです:
| Version | Supported |
|---|---|
| 0.9.x | ✅ |
| < 0.9 | ❌ |
ゆにぱけスキャナーの脆弱性を発見した場合は、以下の方法で報告してください:
優先順位順:
- GitHub Private Vulnerability Reporting
- GitHubのSecurity Advisories機能を使用
脆弱性報告には以下の情報を含めてください:
- 脆弱性の概要: 問題の簡潔な説明
- 影響範囲: 影響を受けるバージョンやコンポーネント
- 再現手順: 脆弱性を再現するための詳細な手順
- 概念実証(PoC): 可能であれば、安全な範囲での実証コード
- 影響度評価: あなたが考える脆弱性の深刻度
- 修正案: 修正方法の提案(あれば)
- コード署名: リリースバイナリの完全性保証(将来実装予定)
- サンドボックス化: Electronのセキュリティベストプラクティスに準拠
- 最小権限原則: 必要最小限の権限のみで動作
- オフライン動作: ネットワーク通信を行わないため、通信関連の脅威を排除
- 依存関係管理: 定期的な依存関係の脆弱性チェック
- 静的解析: ESLintやTypeScriptによるコード品質管理
- 自動テスト: CIパイプラインでの自動テスト実行
- コードレビュー: すべての変更にコードレビューを実施
- 公式配布のみ: 公式GitHubリリースもしくはBoothからのダウンロードを推奨
- ハッシュ検証: 将来のバージョンでファイルハッシュを提供予定
- 更新通知: セキュリティアップデートの重要性の周知
ゆにぱけスキャナー自体について、以下の制限事項があります:
- 完全性の限界: すべての脅威を検出できるわけではありません
- 誤検出の可能性: 安全なコードが危険として誤検出される場合があります
- パターンベース: 新しい脅威パターンには対応が遅れる場合があります
- ファイルアクセス: スキャン対象ファイルへの読み取りアクセスが必要
- リソース使用: 大容量ファイルの処理時にメモリ使用量が増加
- プラットフォーム依存: Windows専用(v0.9.0時点)
セキュリティ脆弱性の公開については、以下の原則に従います:
- 修正優先: 脆弱性の修正を最優先とします
- 調整された開示: 報告者と調整の上で適切なタイミングで公開します
- ユーザー保護: ユーザーの安全を最優先に考慮します
- 透明性: 修正後は適切な詳細情報を提供します
セキュリティに関するお問い合わせ:
- GitHub: Security Advisories
重要: 脆弱性情報は機密として扱われ、修正されるまで公開されることはありません。安心してご報告ください。
製作: 朔日工房 (tsuitachi-studio) / 鴇峰朔華
最終更新: 2025-10-16