- 本リポジトリ配下のソースコード・スクリプト・構成ファイル
- リリースアセット(例:
DCS-Translation-Tool-<version>-<RID>.zip、*.sha256、Source code.*) - CI/CD 設定(
.github/workflows/**、.github/actions/**)
Note
非スコープ:第三者サービスそのものの脆弱性、DoS/Rate-limit 迂回、ソーシャルエンジニアリング、物理攻撃、ユーザー生成コンテンツのモデレーション問題 等
本プロジェクトは 最新版(Latest) のみをサポート対象とします。 旧バージョンの利用は既知脆弱性を含む可能性があり、自己責任での利用となります。
提供範囲:機能追加 / バグ修正 / セキュリティ修正
その他のバージョンは非サポートです。アップグレードをご検討ください。
Note
リリースは release-please により管理されています。必要に応じて修正は最小差分で提供します。
公開 Issue では報告しないでください。 以下のいずれかの安全な経路をご利用ください。
- GitHub Security Advisories(推奨) GitHub の「Security」タブ → “Report a vulnerability” から非公開で報告できます。
- メール連絡
dcs.translation.japanese+Tool+Security [at] gmail.com 宛てに以下をお送りください(機密情報は伏せ字または暗号化)。
- 影響範囲(機密性/完全性/可用性、推定 CVSS)
- 再現手順(可能なら PoC・ログ・スクリーンショット)
- 影響バージョン(タグ/コミット SHA)
- 連絡先(継続的なやり取りのため)
できるだけ詳細な情報(再現手順、影響範囲、使用環境など)を添えてご報告いただけると助かります。
- 報告を受けてから 可能な限り迅速に確認し、対応可否をお伝えします
- 修正が必要な場合は、できるだけ早くパッチリリースを準備します
- 脆弱性が修正された場合は、リリースノートにて周知します
善意のセキュリティ研究を歓迎します。以下を遵守してください。
- 個人情報・機密データへのアクセス/取得を目的としない
- 可用性を損なう行為(DoS/大量トラフィック/資源枯渇)は行わない
- ソーシャルエンジニアリング・物理侵入を行わない
- 実害が出る恐れがある PoC は最小限の再現にとどめる
- 発見後は合理的な期間、非公開とし、修正に協力する
本ガイドラインに則った活動に対し、当プロジェクトは 善意の解釈(Good Faith) を適用します。
- 初版(2025-08-01): 公開