セキュリティポリシー
当社はこのサイトとそのユーザーのセキュリティを真剣に考えています。このページでは、脆弱性の報告方法と当社の対応への取り組みについて説明します。
脆弱性の報告
本サイトまたはその支援インフラストラクチャにセキュリティの脆弱性を発見した場合は、責任ある方法で報告してください。セキュリティの脆弱性について公開の GitHub issue を開かないでください。
推奨方法: security@eucybersecurity.org に、脆弱性の説明、再現手順、および潜在的な影響を記載したメールを送信してください。48 時間以内に受信確認をお送りします。
機械可読な開示連絡先情報については、security.txt もご参照ください。
協調的開示
当社は協調的開示ポリシーに従っています。公開開示の前に、調査と修正のための合理的な時間を確保いただくようお願いしています — 脆弱性が積極的に悪用されていない限り、通常 90 日間です。
このポリシーに従って脆弱性を報告する善意の研究者に対して、法的措置を講じることはありません。
スコープ
責任ある開示のスコープ内:
- eucybersecurity.org ウェブサイトとそのサブドメイン
- 公開 API エンドポイント
- 認証とセッション処理
- インジェクション脆弱性(SQLi、XSS、SSRF など)
スコープ外:
- サービス拒否攻撃
- スタッフへのソーシャルエンジニアリング
- 物理的攻撃
セキュリティヘッダー
このサイトは、すべてのレスポンスに対して厳格なセキュリティヘッダーを提供します。Content-Security-Policy(nonce ベース)、HSTS with preload、X-Frame-Options: DENY、および Permissions-Policy が含まれます。