JPCERT/CC 対応フロー
-
脆弱性が存在する旨のメールを受信
-
vendor portal external_link から情報をダウンロードする
- vendor portalのログイン方法
- ID:
ml-jvm-growi@weseek.co.jp
を追加し、「パスワード発行」ボタンを押す- 上記のメールアドレスにパスワードが送信される
- vendor portal上にてID とパスワードを入れてログインする
- (3回間違えるとログインできなくなるので注意)
- ID:
- vendor portalのログイン方法
-
gitlab の growi/vulnerability external_link リポジトリにアップロードする
-
再現を確認する
- gitlab リポジトリから方法を確認して再現を確認する
-
この時点で、「再現を認めた」ということを JPCERT にメールを送る
- cc に ml jvm growi を追加して、Reply all で送信する
- 可能であれば修正見込み等も連絡する
-
原因を特定して直す
-
修正完了したバージョンをリリースする
-
vendor portal に登録するためのwikiを作成する(日/英)
- レビューが通ったら vendor portal に登録する
- vendor portal にログインしたら右上の案件一覧の部分をクリック
- 該当するJVN番号を探して、ステータス入力画面へ進む
- ※日・英は一気に更新することはできない。片方ずつ更新する
- JPCERT/CC にサマリを登録したことを報告し、確認してもらう
- レビューが通ったら vendor portal に登録する
-
修正内容をユーザーに周知するためのページを、WESEEK HP の Article に作る(まだ JVN の ID は載せてはいけない)
- https://weseek.co.jp/ja/news/ external_link
- 「※CVE番号・謝辞・その他の情報はJVN公表後(近日中)に更新されます」と記載する
-
公開準備が整った旨を JPCERT/CC にメールする
- 公開日時を相談して決める
-
WESEEK HP / GROWI.cloud HP 記事更新
- https://weseek.co.jp/ja/news/ external_link
- PRに公開予定の日時を記載してマージすれば、その日に自動的に公開される
- GROWI.cloud の記事更新は、JVN公開の後でも良い
- https://weseek.co.jp/ja/news/ external_link
-
JVN公開
- JPCERT/CC が公開する
- GROWI開発チームは何もしない
-
JVNが公開されたことを確認し、以下で既に公開した記事の タイトルと記事内にURLに JVNの情報を追加
- WESEEK HP
- GROWI.cloud HP
-
新規報告者の場合 staff credit の vulnerability hunter に追加する
- 本人に追加していいかを確認して、承諾されたら載せる
補足
- 脆弱性情報の届出方法についてのご案内 脆弱性を悪用した攻撃が行われた可能性がある、または悪用された場合の影響が 大きい脆弱性など、緊急を要し速やかに JVN 公表による脆弱性情報の周知を行う 必要がある場合、IPA への届出ではなく JPCERT/CC に直接 "自社製品届出"の形で 脆弱性情報をご連絡いただくと、JVN 公表までの期間を短縮することができる。 緊急を要する脆弱性が確認された場合は、JPCERT/CC への "自社製品届出" を活用することを検討する。
- メールを送信する際は CC に ml-jvm-growi を追加する
huntr.dev 対応フロー
huntr.devの概要
-
OSSにて脆弱性を発見した第三者がhuntr.devのプラットフォーム上で報告する
-
脆弱性の発見者や修正者にはHuntrから報酬が支払われる
-
WESEEK側の対処
- huntr.dev と 弊社で相談して採番と公表まで行う
- ↑で採番されたCVEをJPCERTにも報告し、JVN公表を行う
手順
-
報告された脆弱性の再現確認をする
- 確認ができたら該当ページにて
Approve
ボタンを押す- 発見者に対してhuntrから報酬が支払われる
- 確認ができたら該当ページにて
-
修正しリリース
confirm fix
ボタンを押して必要事項を埋めて送信する- リリースされたバージョン
- 修正されたバージョン
- Select a brunch ->
master
を選択 - Select a commit SHA... -> 対象のコミットを選択 - コミットが選択肢から見つからない場合は、load more
をクリックすれば良い - Who shold get rewarded for the patch?
- 修正した人を選択
- 弊社で修正した場合は
Nobady
を選択(報酬の支払いは行われない)
- 弊社で修正した場合は
- 修正した人を選択
- 正常に送信されると、脆弱性の報告ページが自動的に
public
となる- 公開された当該レポートの右上に CVEのリンクが確認できます(反映に時間かかるかも?)
-
JPCERT/CCに上記で取得した 既に公開済みのURLアドバイザリ等をメールで送信する
-
vendor portal にサマリを登録する
- 日 /英
-
/資料/脆弱性報告対応#JPCERT%2FCC 対応フローの10番以降の手順を踏み、JVN公表する
既に報告に上がってある脆弱性の場合
- Huntrの報告者に既に報告が上がっているという旨のコメントを残す
- rejectする(rejectするとreportが自動的に公開されます)
- Huntrの管理者にPrivateにしてもらうよう依頼する