Studio Bug Bounty Programについて
当社では、Studioのセキュリティ向上とお客様への安全なサービス提供を目的として、Bug Bounty Program(脆弱性報奨金制度)を設けています。
この制度は、弊社製品の未知の脆弱性を早期に発見・対策し、Studioのセキュリティレベルを向上させることを目的としています。
報告された脆弱性の内容に応じて、謝礼をお支払いします。報奨金の支払いにはいくつかの条件がありますので、ご参加の前に本記事の内容を必ずご確認ください。
この記事では、対象範囲・注意事項・報告の手順についてご紹介します。
対象範囲
Studio [ https://app.studio.design/projects ] 内の各機能・コンテンツ
報奨金対象外ケース
以下のいずれかに該当する場合、報奨金の対象外となります。
当社が既に把握している脆弱性
第三者から既に報告されている脆弱性
公に情報が公開されている脆弱性
報告時点で再現が確認できない脆弱性
URLリダイレクトに関する問題
クリックジャッキングの脆弱性
エラーページにおける表示上の問題
セキュリティヘッダー(CSP等)に関する問題
特定の機能に対するリプレイ攻撃
ご自身にのみ影響する脆弱性(自己完結型のクロスサイトスクリプティング等)
サーバー上のアプリケーション情報漏洩
SSLを使用していないCookieの取り扱いに関する問題
禁止事項
発見された脆弱性に関する詳細情報を外部に公開しないでください。
高負荷攻撃など、サービス全体に影響を与える可能性のある行為は行わないでください。
報告に関する注意点
報告は日本語または英語でのみ受け付けています。
下記を遵守してください。
お問い合わせ
報告手順
申請の承認までは1-5営業日程度お時間をいただきます。申請を承認しない場合があります。その場合、不承認理由は開示していません。
IssueHunt(バグバウンティプラットフォーム)でアカウント登録します。 IssueHuntへアクセスし、「Researcher」として登録します。登録に際し、IssueHuntの利用規約に同意する必要があります。既に登録済みの場合は、次の手順へ進んでください。
Studioのプログラムに参加申請します。
IssueHuntにログイン状態のブラウザで下記URLにアクセスし、「Join the program」をクリックします。
【 招待URL 】
報告内容を送信します。
申請が承認されるとIssueHuntにご登録のメールアドレスに承認がされた旨のメールが届きます。 IssueHuntにログイン後、プログラム一覧に「Studio株式会社」が表示されます。クリック後、テンプレートに沿って報告してください。
報告内容の確認後、条件を満たした場合には報奨金をお支払いします。