私たちは、RocketShareとユーザーのデータのセキュリティを真剣に受け止めています。セキュリティ脆弱性を発見された場合は、責任を持って開示していただけることに感謝いたします。
対象範囲
以下がこのポリシーの対象範囲です:
- rocketshare.app — メインのWebアプリケーション
- APIエンドポイント rocketshare.app配下
- クライアント側の暗号化実装
- 認証とセッション管理
- アクセス制御と認可ロジック
報告方法
お問い合わせフォームから「セキュリティ脆弱性レポート」という件名で、発見事項をお送りください。以下を含めてください:
- 脆弱性の明確な説明
- 問題を再現する手順
- ご理解されている潜在的な影響
- 概念実証コードまたはスクリーンショット(該当する場合)
- フォローアップの質問のためのご連絡先情報
お願いすること
- 私たちが対処する合理的な機会を得るまで、脆弱性を公開しないでください
- 調査中に他のユーザーのデータにアクセス、変更、削除をしないでください
- 他のユーザーのサービスを低下させるサービス拒否攻撃やテストを実施しないでください
- 本番システムに対して大規模な自動スキャンツールを使用しないでください — 手動でテストするか、個人のテストアカウントをご使用ください
- 誠実に行動してください — プライバシー侵害や混乱を避けるため、真摯な努力をしてください
お約束すること
- 48時間以内の確認 — 2営業日以内にレポートの受領を確認いたします
- 定期的な更新 — 問題の調査と修正の進捗状況をお知らせいたします
- 合理的な修正期間 — 複雑さに応じて、確認された脆弱性を90日以内に解決することを目指します
- クレジット — ご許可をいただければ、修正を開示する際に報告者としてクレジットいたします
- 法的措置なし — このポリシーに誠実に従う研究者に対して法的措置を取ることはありません
金銭的報酬なし
現時点では、脆弱性報告に対する金銭的報酬(バグバウンティ)は提供しておりません。RocketShareを安全に保つためのご協力に対して、公的なクレジットと心からの感謝を提供いたします。
対象外
以下は、このポリシーの下では脆弱性とは見なされません:
- ソーシャルエンジニアリング — 私たちのチームやユーザーに対するフィッシングやプリテキスティング攻撃
- サービス拒否(DoS/DDoS) — 大量攻撃またはリソース枯渇
- サードパーティサービス — 私たちが使用しているが制御していないサービスの脆弱性(例:Cloudflare、決済プロセッサー)
- Self-XSS — 被害者がブラウザコンソールにコードを貼り付ける必要がある問題
- 非機密ページでのセキュリティヘッダーの欠落 — 実証可能なエクスプロイトにつながらない限り
- レート制限 — 非重要なエンドポイントでのレート制限の欠如
- ソフトウェアバージョンの開示 — ヘッダーやレスポンスのサーバーまたはフレームワークのバージョン情報
- コンテンツスプーフィング — 実証可能なセキュリティ影響がない場合
このポリシーは2026年2月から有効です。このポリシーに関するご質問は、お問い合わせください。