脆弱性報告ポリシー
Esri 製品インシデント対応チーム (PSIRT) は、独立したセキュリティー研究者がインターネット セキュリティーで果たしている貴重な役割を認識しています。 Esri では、当社のサイトやアプリケーションで発見された脆弱性について報告していただくことを願っています。 Esri は、セキュリティー コミュニティーと連携して、報告された潜在的な脆弱性を検証および対応することをお約束します。 このポリシーに従っていただいた場合、Esri が訴訟を提起したり、法執行機関による調査を開始したりすることはありません。
Esri は、以下のようなセキュリティー調査を許可していません。
- サービス拒否 (DoS) 状態を引き起こす、または引き起こそうとすること。
- Esri に明示的な同意を得ることなく、自動セキュリティー ツールを使用すること。 自動ツールを使用した場合、調査の対象となったり、IP がブロックされたりする可能性があります。
- お客様以外のデータや情報にアクセス、またはアクセスしようとすること。
- お客様以外のデータや情報を破壊または破損、もしくは破壊または破損を試みること。
研究者、Root CNA および Sub CNA:
- Esri は Esri ソフトウェア製品の範囲における公式の CVE 採番機関 (CNA) です。
- Esri は、協調的脆弱性開示ガイドラインに従って、脆弱性に CVE 識別子を割り当てます。
- Esri は、特定された脆弱性に対処するパッチが入手できるようになると、脆弱性の警報を公開します。
- パッチは、Esri の製品ライフ サイクルに基づき、一般利用可能および延長サポートのソフトウェアに提供されます。
- ステータスが開発終了バージョン サポートまたはリタイアのソフトウェアには、パッチは提供されません。
- ステータスが開発終了バージョン サポートまたはリタイアのソフトウェアをお使いのお客様は、最新バージョンのソフトウェアにアップグレードして、Esri の製品ライフ サイクルに基づくパッチが適用されているセキュリティーの脆弱性を修復する必要があります。
サード パーティー コンポーネントの脆弱性
多くの Esri ソフトウェアには、サード パーティーまたはオープン ソースのライブラリーやバイナリーが含まれています。 サード パーティー コンポーネントの潜在的なセキュリティー問題が Esri ソフトウェアに与える影響を検証するリクエストを送信する前に、ドキュメント タブにある「Esri のサード パーティー コンポーネント CVE 応対ドキュメント」をご確認ください。
製品セキュリティー インシデント対応チームの取り組み
この脆弱性報告ポリシーに従うすべてのセキュリティー研究者に対して、製品セキュリティー インシデント対応チームは以下の内容をお約束します。
- 報告の受領を把握次第、タイムリーに対応する。
- この脆弱性の対処に必要な予定時間を提供する。
- 脆弱性が修正されたら、報告者に通知する。