現在、以下のバージョンでセキュリティ更新プログラムが提供されています:
| バージョン | サポート状況 |
|---|---|
| 0.1.x | ✅ サポート中 |
wakeruプロジェクトでは、セキュリティ脆弱性の責任ある開示を奨励しています。セキュリティ問題を発見した場合は、直接公開Issueを作成せず、以下の手順に従って報告してください。
- 脆弱性を報告する: https://github.com/tokoba/wakeru/security/advisories を使用して報告してください
- 詳細を提供: 可能な限り詳細な情報を含めてください
- 影響を受けるバージョン
- 脆弱性の説明
- 再現手順
- 影響の評価
- 対応までお待ちください: メンテナが脆弱性を確認し、修正プログラムを準備するまで通常7日以内に応答します
- 報告から48時間以内に受領確認を行います
- 脆弱性の詳細を72時間以内に最初の評価を行います
- 修正プログラムのリリース予定を7日以内に提示します
- 修正プログラムの公開前に報告者に通知します
- 脆弱性が確認された後、パッチが作成されます
- パッチが準備できたら、新しいリリースが公開されます
- リリース後、セキュリティアドバイザリが公開されます
- 報告者のクレジット(希望する場合)
以下の問題は優先的に扱われます:
- 重大: リモートコード実行、特権昇格、データ漏洩
- 高: 認証の回避、重要なデータの改ざん
- 中: サービス拒否(DoS)、情報の開示
- 低: スポーフィング、轻微な情報漏洩
- 常に最新バージョンを使用してください
- 依存関係のセキュリティ更新を適用してください
- 不明なソースからの辞書ファイルを使用しないでください
- 依存関係の定期的な更新:
cargo deny check - セキュリティスキャン: CIで自動実行されています
- コードレビュー: すべての変更はレビューが必要です
このプロジェクトは以下のセキュリティツールを使用しています:
- cargo-deny: 依存関係の脆弱性スキャン
- GitHub Dependabot: 自動依存関係更新
- GitHub Actions: CI/CDセキュリティチェック
公開されたセキュリティアドバイザリは https://github.com/tokoba/wakeru/security/advisories で確認できます。
セキュリティに関する質問や懸念がある場合は:
- GitHub: https://github.com/tokoba/wakeru/security/advisories
- Email: tokoba (GitHub経由で連絡)
私たちのセキュリティへの取り組みにご協力いただきありがとうございます。