Forguncyでは、発見された脆弱性への対応と脆弱性情報の公開方法についてのポリシーを下記の通り定めています。
脆弱性の評価
脆弱性の評価は共通脆弱性評価システム「CVSS(Common Vulnerability Scoring System) v3」を利用します。
深刻度レベル分け
CVSS v3では、深刻度レベル分けを次のように設定しています。
深刻度 | CVSS v3 基本値 |
---|---|
緊急 (Critical) | 9.0 ~ 10.0 |
重要 (Hight) | 7.0 ~ 8.9 |
警告 (Middle) | 4.0 ~ 6.9 |
注記 (Low) | 0.1 ~ 3.9 |
なし | 0 |
脆弱性情報の公開
脆弱性の内容、および対応についてナレッジベースにて公開します。
公開時期
対策方法の公開と同時。ただし、複数のメジャーバージョンが該当する脆弱性で、脆弱性を修正したバージョンのリリース時期が異なる場合、最も遅いリリース時期に情報を公開します。
脆弱性の改修
脆弱性の深刻度に応じて対応します。
- CVSS v3 基本値 7.0 以上(深刻度 重要/High 以上)
- 通常サポート期間内のすべてのメジャーバージョンにおいてアップデート版をリリース
- CVSS v3 基本値 6.9 以下(深刻度 警告/Middle 以下)
- リリース中の最新メジャーバージョンにおいてアップデート版をリリース
通常サポート期間内の製品については、製品ライフサイクルを参照してください。
本ドキュメントの更新履歴
- 2021年2月9日 初版公開