法的事項
脆弱性情報開示方針
初期スコープ
Darktraceの脆弱性開示プログラムは、以下の製品を対象としています:
- Darktrace アプライアンス
- リモートアクセスのみ、テスト前にアプライアンスの所有者の許可を得ていることを確認してください。
- アプライアンスへの物理的なアクセスを必要とするエクスプロイトは受け付けられません。アプライアンスは、安全なデータセンターに保管されるように設計されています。
- Darktrace センサー(V、C、OS)
Darktrace では、他にも多数の製品を開発していますが、セキュリティ研究者の皆様には、記載の製品リストに関する脆弱性レポートのみをご提出いただくようにお願いしています。脆弱性レポートを提出された研究者は、提出されたレポートが当社の製品セキュリティチームによって受理・検証された後、当社のウェブサイト上で完全なクレジットを得ることができます。
法的体制
Darktrace Holding Limited は、脆弱性報告書公開プログラムを通じて脆弱性報告書を提出した個人に対して法的措置を取ることはありません。現在リストアップされている製品の脆弱性報告については広く受け付けています。私たちは、以下のような個人に対して法的措置を取らないことに同意します。
- Darktrace またはその顧客に損害を与えることなく、システムおよび研究のテストに従事する。
- 脆弱性開示プログラムの範囲内で脆弱性テストを実施し、範囲外のものに対するテストは避ける。
- 顧客に影響を与えない製品でのテスト、または顧客の機器・ソフトウェア等に対する脆弱性テストに従事する前に、顧客の許可・同意を得ること。
- 所在地およびDarktrace Holdings Ltdまたはその関連会社(英国)の所在地に関する法律を遵守してください。例えば、英国に拠点を置くDarktrace Ltd からしか請求されないような法律に違反しても、Darktrace Ltd がシステムを改善するためにその活動(リバースエンジニアリングや保護手段の回避)を許可しているため、許容される場合があります。
- 相互に合意した期間が経過するまでは、脆弱性の詳細を外部に公開しないこと。
脆弱性報告書の提出方法
Darktrace Holdings Ltdのセキュリティチームに脆弱性レポートを提出するには、最初にE
メール(vulnerability-disclosure@darktrace.com)で連絡してください。詳細な情報を収集する際には、標準的なS/MIMEまたはその他の安全な方法を後で使用することができます。
優先順位、優先度、受け入れ基準
応募の優先順位とトリアージは、以下の基準で行います。
あなたに期待すること:
- よく書かれた英文のレポートであれば、解決する確率も高くなります。
- また、実証済みのコードを含むレポートにより、より適切なトリアージが可能になります。
- クラッシュダンプやその他の自動化ツールの出力のみを含むレポートは、優先度が低くなる可能性があります。
- 初期スコープリストにない製品を含むレポートは、優先度が低くなる可能性があります。
- バグを発見した経緯、影響、改善の可能性についても記載してください。
- 公開の予定や意図があれば含めてください。
私たちに期待されること
- メールへのタイムリーな回答(2営業日以内)
- トリアージの後、私たちは予想されるスケジュールを送信し、改善スケジュールとそれを延長する可能性のある問題や課題について、できる限り透明性を確保することを約束します
- 問題を議論するためのオープンなダイアログ
- 脆弱性診断の各段階が終了した際の通知
- 脆弱性が検証され、修正された後のクレジット
通信上の問題やその他の問題を解決できない場合、Darktrace Holdings Ltdは、中立的な第三者(NCSCなど)を入れて、脆弱性に対処する最善の方法を決定するよう支援する場合があります。
バージョニング
このポリシー、すなわちバージョン2.0は、2021年4月28日に作成されました。当社は、本ポリシーを毎年更新または見直しています。更新があった場合は、以下のバージョンノートに記載されます。
- オリジナル版は2021年3月1日に作成されました。Darktrace Limited がDarktrace Holdings Ltd. に変更されました。