1. 政策目標

LuxpowerTekは、世界中のお客様に安全で信頼性の高い製品とサービスを提供することに尽力しています。セキュリティ研究者、パートナー、そしてお客様には、潜在的な脆弱性を以下の方法でご報告いただくようお願いしています。 責任ある開示慣行リスクに迅速に対処し、軽減することができます。

2. 報告プロセス

脆弱性レポートを提出するには、次のチャネルを使用してください。

電子メール

security@luxpowertek.com (PGP暗号化を推奨)

オンラインフォーム/セキュリティポータル

専用セキュリティポータルの詳細については別途発表されます。

レポートには以下の情報を含めてください。

  • 影響を受ける製品モデルとファームウェア/ソフトウェアバージョン
  • 脆弱性の詳細な説明と再現手順(または概念実証)
  • 潜在的な影響の分析
  • フォローアップのための連絡先情報

ヒント:

責任ある開示を確実にするために、公式の修正がリリースされるまで脆弱性を公表しないでください。

3. セキュリティテストの範囲とコンプライアンスの境界

許可された試験活動

  • ローカルデバイステスト
  • ネットワーク通信分析
  • 構成と権限の検証

禁止行為❌

  • ユーザーデータへの不正アクセスまたは盗難
  • 脆弱性を悪用してサービスの中断や損害を引き起こす
  • 実稼働環境を標的とした大規模なスキャン攻撃やサービス拒否攻撃

4. 脆弱性対応プロセスとタイムライン

LuxpowerTek は国際的なベストプラクティスに準拠しており、脆弱性に対処するための標準化された対応プロセスを確立しています。

  1. 了承: 報告を受けてから5営業日以内に受領確認をさせていただきます。
  2. 検証と評価: 当社のセキュリティ チームは、CVSS v3.1 標準を使用して脆弱性を検証し、そのリスク レベルを評価します。
  3. 改善計画: 重大度に応じて、修正または軽減計画を策定します。
  4. コミュニケーション: 当社はプロセス全体を通じて報告者と連絡を取り合い、必要に応じて追加情報を要求します。
  5. 公開ディスク オスレ: 問題が解決されると、研究者の同意が得られた場合は研究者への謝辞とともに、脆弱性に関する勧告がセキュリティ速報で公開されます。

典型的な解決と開示のタイムラインは 90~120 重大な脆弱性については優先的に迅速に対応し、数日で解決します。

5. 脆弱性の深刻度分類

脆弱性は、CVSS v3.1 標準に基づいて次のように分類されます。

低(0.1~3.9)

影響は最小限で、後続の反復で解決されました。

中程度(4.0~6.9)

影響は限定的であり、定期的なソフトウェア更新で対処されます。

高(7.0~8.9)

影響度の高い脆弱性を優先して迅速に解決します。

クリティカル(9.0~10.0)

緊急パッチリリースによる即時修復。

6. 通知

協調的開示原則

LuxpowerTekは、 CVD(協調的脆弱性開示) パッチのリリース前に脆弱性が公開されないようにするためのモデル。

研究者は、通常、合理的な修復期間を提供することが求められます。 90日間、タイムリーな解決を促進します。

法的免除

脆弱性のテストと開示がこのポリシーに従って行われる限り、LuxpowerTekは研究者に対して法的措置を取らず、次のような活動を検討します。 誠意あるセキュリティ研究。

免責事項

このポリシーは更新される可能性があります業界の動向や法的要件を反映するため、LuxpowerTekは脆弱性の開示または修復の遅延に起因する直接的または間接的な損失について、一切の保証または責任を負いません。