概要

Grav やその拡張機能に関連するセキュリティ問題の可能性を発見した場合は、contact@getgrav.org のコアチームにメールを送っていただければ、できるだけ早く対処します。

GitHub、Discord、Discourse フォーラムを含め、コアチームが検証し、関係者に連絡して解決する機会を得る前に、問題を公に公開すべきではありません。また、その問題が Grav のユーザにとって潜在的な脅威でない場合は、代わりに 課題として を提出すべきかもしれません。もし不明な点があれば、ご連絡いただければ、その報告がどこに属するかを判断するお手伝いをします。

レポートの提出

Grav のコアや拡張機能に潜在的な脆弱性を発見した場合、適切な注意を払って報告することが望まれます。

1. Gravとインストールされている拡張機能のバージョン番号と、問題に関連するどのコンポーネントを含めてください。
2. 脆弱性を詳細かつ簡潔に記述することで、その原因究明に費やす時間を減らす。
3. 脆弱性が発生する環境を再現するために必要な手順を正確に書いてください。system.yaml にどのような設定を行い、どのようなコンテンツを作成し、どのようなシステム設定を適用したのか？
4. 可能であれば、脆弱性の原因と、開発者が再構築とセキュリティの確保を両立できるような パッチの当て方 を記述してください。

責任ある情報開示

Gravは、発見された脆弱性の提出について、「責任ある開示」モデルに従っています。これは、問題が発見され、テストされ、成功裏に実証された後、開発者がその脆弱性を公にする前にパッチを適用する期間が与えられるべきであるということを意味します。これは、報告された問題に対する解決策の発見とテストには時間と手間がかかり、Grav はオープンソースプロジェクトであるため、作者がそれに捧げる時間が無制限にあるわけではないからです。したがって、関連するコードの知識がある場合は、問題の解決方法やパッチの適用方法についても提案することをお勧めします。

解決のプロセス

あなたの報告が正確で、新しいセキュリティ問題が再現された場合、コアチームはできるだけ早くその問題に対処します。これが完了すると、その問題と解決策はレポートの公開リポジトリに含まれることになります。あなたの名前と、あなたのウェブサイトやソーシャルメディアのプロフィールへのリンクが任意でクレジットされますが、ご希望であれば、ペンネームや「匿名記者」にクレジットされるようリクエストすることもできます。

報告や問題は、問題が解決されるまで非公開にされます。拡張機能の管理者が適時に問題に対処できない場合、その拡張機能は問題が解決されるまで Grav パッケージマナーから削除されます。

対応バージョン

現在の major.minor バージョンの Grav のみをサポートします。つまり、パッチは major.minor.patch で実装されますが、古いバージョンの Grav に逆行することはありません。インストールを最新に保つことは重要であり、セキュリティの観点から明示的に必要でなくても、多くの変更は有益です。

リスクレベル

Grav には、5つのリスクレベルがあります。

• Highly Critical (高い危険性)
• Critical (危険)
• Moderately Critical (中程度の危険性)
• Less Critical (低い危険性)
• Not Critical (危険ではない)

これらは、National Institute of Standards and Technology (NIST)による「Common Misuse Scoring System 」(CMSS) に基づいて計算されています。Grav 専用のものが簡単に用意できないため、Drupal のRiskCalc (注)を使用します。