BlackBerry 協調的脆弱性開示ポリシー
BlackBerry は、製品のセキュリティの継続的な改善に取り組んでおり、製品が市場にリリースされる前に潜在的な脆弱性を積極的に特定し、取り除くよう努めています。
しかし、私たちの最善の努力にもかかわらず、私たちの製品やウェブサイトに脆弱性が発生することはまれにあります。私たちは、脆弱性を発見し、BlackBerry に報告する発見者を認識し、協力することで、脆弱性を修正することができます。
これらの貢献者と効果的に連携するために、私たちはこのBlackBerry 「Coordinated Vulnerability Disclosure Policy」を文書化し、連携と外部からの脆弱性報告を促進しています。
この政策の主なポイントは以下の通りである:
- 脆弱性報告プロセスには、現在サポートされている製品も含まれる。
- BlackBerry は、いくつかの標準的なガイドラインに従って脆弱性をテストし、提出する発見者と誠意をもって協力する。
- BlackBerryの製品セキュリティ・インシデント・レスポンス・チーム(BBPSIRT)は、発見者と協力して、脆弱性を協調的に開示するための経路を決定する。
- BlackBerry Coordinated Vulnerability Disclosure Policyおよび適用されるすべての法律に従わない場合、BlackBerry は、適用されるすべての救済措置を追求する権利を留保します。
スコープ
脆弱性報告プロセスには、BlackBerry 、当社の子会社、および当社のウェブサイトが現在サポートしている製品が含まれます。
BlackBerry 製品がサポートされているかどうかは、BlackBerry ソフトウェア・サポート・ライフサイクルをご覧ください。
誰がこのポリシーを読むべきか?
このポリシーは、BlackBerry がサポートする製品やBlackBerry ウェブサイトの脆弱性を発見し、テストし、提出するすべての発見者が読む必要があります。
ファインダーに期待すること
私たちは、以下のガイドラインに従って脆弱性をテストし、提出する発見者と誠意をもって協力します。
BlackBerry セキュリティ・テストを全面的にサポートする:
- すべての顧客とパートナーのセキュリティとプライバシーを保護する方法で実施される。
- セキュリティテスト活動に関連するすべての適用法令に関する整合性を遵守する
- BlackBerry およびBlackBerryの知的財産権に関する契約条項を尊重し、遵守する。
- 本方針に定められた範囲内でのみ研究を行う
- 公開時に、セキュリティ問題の全詳細をBlackBerry に提供する。
- BlackBerry 、脆弱性を公表したり他の第三者に開示したりする前に、是正措置を講じる機会を与える。
脆弱性の提出方法
当社 BlackBerry製品やウェブサイトにセキュリティ脆弱性を発見したと思われる場合は、BlackBerry PSIRT(BBPSIRT)(secure@blackberry.com)までお知らせください。
脆弱性を提出する際には、詳細な情報を提供してください。
これには以下が含まれる:
- 影響を受ける製品の名称、バージョン、構成の詳細、
- 脆弱性の発見に関わったすべての発見者の名前、
- 脆弱性とそれが発見された環境の説明、
- 脆弱性を再現するための詳細な手順。
- 概念実証(PoC)を示すスクリーンショットまたはビデオ
ファインダーがBBPSIRTに期待すること
BBPSIRTは
- 北米の3営業日以内に、発見者の報告を確認し、当社のケース管理システム内にケースを開設し、調査を追跡するケースマネージャーを割り当てます。
- 現在サポートされているBlackBerry 製品またはウェブサイトにおける固有の脆弱性の最初の報告例を完全に調査する。
- 報告された脆弱性を検証する。この段階で追加情報を提供するため、発見者に連絡することがある。
- ケースマネージャーを通じて発見者と連絡を取り、脆弱性の存在と、該当する場合は関連する改善計画を確認する。
- 脆弱性が修復されたら、その詳細を発見者に伝える。
- BBPSIRTのウェブサイトで発見者を公表する。BBPSIRTは最初の報告書に記載された発見者、またはBBPSIRTが脆弱性を解決するために直接協力した発見者を信用します。
BBPSIRTによる情報公開と脆弱性公表の調整
BBPSIRTはサポートされているBlackBerry 製品に対してセキュリティアドバイザリを発行し、発見者と協力して脆弱性を協調的に開示するための最良の手段を決定します。これにはサポートされているBlackBerry 製品に対してセキュリティアドバイザリを発行することも含まれます。セキュリティ勧告は公開され、BBPSIRTのウェブサイトで公開されます。
アドバイザリは、サポートされているバージョンの製品で、脆弱性が修正されたソフトウェア アップデートがリリースされた時点で公開されます。QNX®RTOS など特定の製品については、アドバイザリが公開され、当社の Web サイトで公表される前に、非公開のアドバイザリが当社の顧客に提供されます。これは、これらの製品を使用している顧客が、当社の脆弱性修正を自社のソフトウェアに組み込み、独自のソフトウェア保守リリースを発行する機会を確保するためです。
免責事項
BlackBerry また、BlackBerry の確立されたガイドラインおよびBlackBerry Coordinated Vulnerability Disclosure Policy に従って脆弱性を報告する者に対しては、常に誠意をもって対応するよう努めます。
BlackBerry セキュリティ脆弱性報告書を提出する場合を含め、BlackBerry の製品およびサービスに関連してセキュリティ調査活動を行っている間は、BlackBerry 協調脆弱性開示ポリシーおよびすべての適用法を遵守しなければなりません。必要な場合、および/またはBlackBerry による調査の結果、利用者が本ポリシーまたは適用法を遵守していないと判断された場合、BlackBerry は、司法管轄区に応じて適用される民法および/または刑法に基づくものを含め、適用されるすべての救済措置を追求する権利を留保します。
BlackBerry 当社は、変化する技術、適用される法律、およびBlackBerry ビジネス慣行との関連性および最新性を維持するために、本ポリシーを予告なく随時更新する権利を留保します。
このバージョンのBlackBerry 協調型脆弱性開示ポリシーは、以前のすべてのバージョンに優先し、このポリシーのすべての側面は、ケースバイケースの例外と同様に、予告なく変更される場合があります。BlackBerry 、すべてのレベルの関与を調整するためにあらゆる試みを行いますが、特定のレベルの対応を保証するものではありません。