JPCERT/CC 対応フロー

1. 脆弱性が存在する旨のメールを受信

   • to: ml-jvm-growi@weseek.co.jp external_link

2. vendor portal external_link から情報をダウンロードする

   • vendor portalのログイン方法
     1. ID: ml-jvm-growi@weseek.co.jp を追加し、「パスワード発行」ボタンを押す
        • 上記のメールアドレスにパスワードが送信される
     2. vendor portal上にてID とパスワードを入れてログインする
        • (３回間違えるとログインできなくなるので注意)

3. gitlab の growi/vulnerability external_link リポジトリにアップロードする

4. 再現を確認する

   • gitlab リポジトリから方法を確認して再現を確認する

5. この時点で、「再現を認めた」ということを JPCERT にメールを送る

   • cc に ml jvm growi を追加して、Reply all で送信する
   • 可能であれば修正見込み等も連絡する

6. 原因を特定して直す

7. 修正完了したバージョンをリリースする

8. vendor portal に登録するためのwikiを作成する(日/英)

   • 例: https://growi.weseek.co.jp/60c19b40d5f89700499d43f9 external_link
   1. レビューが通ったら vendor portal に登録する
      1. vendor portal にログインしたら右上の案件一覧の部分をクリック
      2. 該当するJVN番号を探して、ステータス入力画面へ進む
         • ※日・英は一気に更新することはできない。片方ずつ更新する
   2. JPCERT/CC にサマリを登録したことを報告し、確認してもらう

9. 修正内容をユーザーに周知するためのページを、WESEEK HP の Article に作る(まだ JVN の ID は載せてはいけない)

   • https://weseek.co.jp/ja/news/ external_link
   • 「※CVE番号・謝辞・その他の情報はJVN公表後(近日中)に更新されます」と記載する

10. 公開準備が整った旨を JPCERT/CC にメールする

    • 公開日時を相談して決める

11. WESEEK HP / GROWI.cloud HP 記事更新

    • https://weseek.co.jp/ja/news/ external_link
      • PRに公開予定の日時を記載してマージすれば、その日に自動的に公開される
    • GROWI.cloud の記事更新は、JVN公開の後でも良い

12. JVN公開

    • JPCERT/CC が公開する
    • GROWI開発チームは何もしない

13. JVNが公開されたことを確認し、以下で既に公開した記事の タイトルと記事内にURLに JVNの情報を追加

    1. WESEEK HP
    2. GROWI.cloud HP

14. 新規報告者の場合 staff credit の vulnerability hunter に追加する

    1. 本人に追加していいかを確認して、承諾されたら載せる

補足

• 脆弱性情報の届出方法についてのご案内 脆弱性を悪用した攻撃が行われた可能性がある、または悪用された場合の影響が 大きい脆弱性など、緊急を要し速やかに JVN 公表による脆弱性情報の周知を行う 必要がある場合、IPA への届出ではなく JPCERT/CC に直接 "自社製品届出"の形で 脆弱性情報をご連絡いただくと、JVN 公表までの期間を短縮することができる。 緊急を要する脆弱性が確認された場合は、JPCERT/CC への "自社製品届出" を活用することを検討する。
• メールを送信する際は CC に ml-jvm-growi を追加する

huntr.dev 対応フロー

huntr.devの概要

• https://huntr.dev/ external_link

• OSSにて脆弱性を発見した第三者がhuntr.devのプラットフォーム上で報告する

• 脆弱性の発見者や修正者にはHuntrから報酬が支払われる

• WESEEK側の対処

  1. huntr.dev と 弊社で相談して採番と公表まで行う
  2. ↑で採番されたCVEをJPCERTにも報告し、JVN公表を行う

手順

1. 報告された脆弱性の再現確認をする

   • 確認ができたら該当ページにてApproveボタンを押す
     • 発見者に対してhuntrから報酬が支払われる

2. 修正しリリース

   • confirm fixボタンを押して必要事項を埋めて送信する
     1. リリースされたバージョン
     2. 修正されたバージョン - Select a brunch -> master を選択 - Select a commit SHA... -> 対象のコミットを選択 - コミットが選択肢から見つからない場合は、load moreをクリックすれば良い
     3. Who shold get rewarded for the patch?
        • 修正した人を選択
          • 弊社で修正した場合は Nobady を選択(報酬の支払いは行われない)
   • 正常に送信されると、脆弱性の報告ページが自動的に public となる
     • 公開された当該レポートの右上に CVEのリンクが確認できます(反映に時間かかるかも?)

3. JPCERT/CCに上記で取得した 既に公開済みのURLアドバイザリ等をメールで送信する

4. vendor portal にサマリを登録する

   • 日 /英

5. /資料/脆弱性報告対応#JPCERT%2FCC 対応フローの10番以降の手順を踏み、JVN公表する

既に報告に上がってある脆弱性の場合

• Huntrの報告者に既に報告が上がっているという旨のコメントを残す
• rejectする(rejectするとreportが自動的に公開されます)
• Huntrの管理者にPrivateにしてもらうよう依頼する