start portlet menu bar end portlet menu bar

HCLSoftware 脆弱性情報開示ポリシー

 

HCLSoftware は、当社の製品と顧客の安全を維持する上で、セキュリティーを守る共同体がどれほど重要であるかを認識しています。お客様の脆弱性情報開示プログラムへのご理解に感謝いたします。

HCLSoftware 脆弱性管理チームは、HCLSoftware 製品に関連するセキュリティー上の脆弱性に関する情報の受領、調査、内部調整を管理しています。このチームは、HCL の製品およびソリューションチームと連携して調査を行い、必要に応じて適切な対応計画を策定します。社内外の関係者間のコミュニケーションを維持することは、脆弱性対応プロセスの重要な要素です。

HCL は、新しい報告に対して 2 営業日以内に対応することを目指しています。

製品またはソリューションの顧客と、権利を有するその他のユーザーは、HCLSoftware カスタマーサポートに連絡して、HCL 製品で発見された問題を報告する必要があります。HCLSoftware カスタマーサポート・チームは、報告された問題がセキュリティー上の脆弱性であると確認された場合は、必要に応じて HCLSoftware 脆弱性管理チームに連絡します。

 

This text is not displayed but is loaded on page.

ガイドライン

  • このプログラムに参加する資格を得るには、レポートを提出する前の 6 ヶ月以内に、HLC Corporation、HCL 子会社、または HCL クライアントのセキュリティーテストを実施する契約を結んでいない必要があります。
  • 現在サポートされている HCLSoftware 製品の脆弱性のみを報告してください。製品リストについては、以下の「対象製品」セクションを参照してください。これらの製品の最新リリースと以前のリリースのみがこのプログラムの対象となります。
  • 当社の顧客を保護するために、HCLSoftware は、製品の分析を行い、修正や緩和策を提供する前に、セキュリティー上の脆弱性を公に開示したり、確認したりすることはありません。脆弱性レポートを HCLSoftware に提出することにより、お客様は、HCLSoftware により脆弱性が修正されたことが確認されるまで、または HCLSoftware から脆弱性に関する情報を公開するための書面による許可を得るまで、脆弱性を公に公開または第三者と共有しないことに同意するものとします。
  • HCLSoftware は、現時点ではバグ報奨金プログラムに参加していません。
  • HCL が脆弱性レポートを評価できるように、お客様は発見した脆弱性に関する以下の情報を提供することに同意するものとします: 電子メールアドレス (必須)、ソフトウェア製品とバージョンの詳細、問題の説明、ハードウェアプラットフォーム、問題を再現する手順、および潜在的な影響。「セキュリティー上の脆弱性の報告」の項を参照してください。
  • 脆弱性レポートに含まれる添付ファイルには、個人を識別できる情報 (名前、連絡先情報、IP アドレス、その他の類似情報など) を含めないでください。

対象外の脆弱性

以下は、本プログラムの対象外です。

  • 機密性の高い状態変更アクションがないページでのクリックジャック攻撃。
  • 未認証/ログアウト/ログイン時の CSRF 攻撃。
  • MITM またはユーザーデバイスへの物理的なアクセスを必要とする攻撃。
  • 有効な概念実証がない、既知の脆弱性ライブラリー。
  • 脆弱性を示すことのないカンマ区切り値 (CSV) インジェクション攻撃。
  • 実行可能な脆弱性につながらない、または CVE がないベストプラクティス。
  • サービスの中断 (DoS) につながる可能性のあるすべてのアクティビティ。
  • 攻撃のベクトルを示さない、または HTML/CSS を改変できないコンテンツスプーフィングやテキストインジェクションの問題。
  • サポート終了 (EOS) に達した HCLSoftware 製品は対象外となり、「該当なし」の応答を受け取ります。
  • 誰でもアクセスできる公知のデータ。ただし、ディレクトリーリストを見つけて、それが悪用につながる方法を説明した場合は、受理されます。

法的通知

脆弱性レポートを HCL に提出することにより、お客様は、HCL がそのビジネス目的 (脆弱性の再現、脆弱性の修復、一般的な開発目的を含むがこれらに限定されない) のために、お客様から同意または支払いを要求することなく、当該レポートでお客様から提供された情報を使用することに同意するものとします。

また、そのような情報もしくは関連する知的財産が自身の保有するものではない場合、または他者の知的財産権の対象になっている場合は、当社に通知することが重要です。当社に通知しない場合、第三者の知的財産権が関与していないことを表明したと見なされます。

HCL とお客様の安全を保つため、ご理解とご協力をお願いいたします。

すべての HCLSoftware 製品は、脆弱性情報開示ポリシーの対象となります。