このポリシーは、CISA脆弱性開示ポリシーテンプレートに基づいています。
Keycloakチームは、世界中の誰もが、セキュリティとプライバシーのリスクを軽減するために必要なアクセスと質の高い情報を受け取る権利があると信じています。私たちは、ユーザー、貢献者、パートナーのコミュニティをデジタルセキュリティの脅威から保護するよう努めています。私たちは、脆弱性管理へのオープンなアプローチがこれを実現するための最良の方法であると信じています。
このポリシーは、私たちのオープンなアプローチを支持し、セキュリティ研究者が発見した脆弱性を私たちに提出し、連携するための明確なガイドラインを提供することを目的としています。このポリシーを遵守することにより、お客様はCNCFが問題を迅速に理解し解決するために協力することを許可するものとします。私たちのプロセスの詳細については、セキュリティ憲章をお読みください。
これらのガイドラインに違反すると、個人またはベンダーが連携拒否リストに追加される可能性があります。
このポリシーは、すべてのKeycloakコンポーネントおよびプロジェクトに適用されます。プロジェクトに開示された調査は、対応チームメンバーに限定されます。ただし、必要に応じて、また要求に応じて、アップストリームのオープンソースコミュニティとの調査の開示を調整するのを支援します。
疑わしい脆弱性は責任を持って開示されるべきであり、分析と修正が利用可能になるまで公開されるべきではありません。私たちは、7営業日以内にご報告を承認し、脆弱性の存在と影響を確認するために協力します。私たちの目標は、評価および修復プロセス中にオープンな対話を維持することです。
脆弱性の重大度に応じて、問題はKeycloakの現在のmajor.minorリリースで修正されるか、重大度の低い脆弱性または強化の場合は、次のmajor.minorリリースで修正される場合があります。最新リリースを見つけるには、https://keycloak.dokyumento.jp/downloadsを参照してください。
Keycloakを定期的にアップグレードできない場合は、Red Hat build of Keycloakを検討することをお勧めします。これは、特定のバージョンのKeycloakの長期サポートを提供します。
Keycloakコードベースのセキュリティ脆弱性を報告するには、keycloak-security@googlegroups.comにメールを送信してください。最新バージョンのKeycloakに対してテストし、レポートに影響を受けるバージョンを含め、最小限の再現可能な例を使用して問題を再現する方法の詳細な手順を提供し、謝辞のための連絡先情報を含めてください。Keycloakで使用されているサードパーティライブラリに関連する既知のCVEを報告する場合は、新しいGitHub issueを作成してください。
セキュリティ脆弱性の修正に協力したい場合は、メールにGitHubユーザー名を含めてください。共同作業できる一時的なプライベートフォークへのアクセスを提供します。
公開されているセキュリティ脆弱性を発見した場合は、keycloak-security@googlegroups.comを通じて直ちに通知してください。
自動セキュリティスキャナーからのレポートは、受け付けられません。これらのツールは、誤検出を報告することが多く、これらのレポートを分析するのに時間がかかるため、プロジェクトメンテナを混乱させる可能性があります。セキュリティスキャナーを使用してセキュリティ脆弱性を発見したと思われる場合は、上記の概要に示すように、Keycloakに特有の脆弱性とその悪用方法の明確な例を提供するのはあなたの責任です。