70mai 脆弱性情報公開ポリシー

70maiは、ユーザーおよびユーザーのデータを保護するために、最高のセキュリティ基準に準拠した製品およびサービスの開発に取り組んでいます。70maiは、セキュリティ研究者、学術関係者、その他広くセキュリティコミュニティからの潜在的なセキュリティの脆弱性に関する情報を歓迎いたします。

70maiセキュリティチームでは、このような脆弱性を指摘する方々と協働する準備が整っており、関連するすべての投稿を確認するよう努めています。

製品セキュリティインシデント対応チームにお問い合わせする場合

研究者やユーザーは、セキュリティの脆弱性やバグを70maiに報告いただくことができます。https://www.70mai.com/contact-us/またはＥメー（security@70mai.com）経由でご報告ください。

インシデント対応計画

セキュリティインシデント対応計画は以下の通りです。

1.専門カスタマーサービスチームが毎日、お問い合わせからの情報を監視し、セキュリティ関連の投稿を発見した場合、70maiセキュリティチームに報告します。一方、セキュリティチームは毎日、security@70mai.comを監視しています。

2.セキュリティチームがインシデントの重大性を判断し、PM（プログラムマネージャー）に報告します。

3.70maiは、脆弱性のスコアや格付けにおいて、業界の標準的ベストプラクティスに従って、脆弱性の潜在的な影響を「高」、「中」、「低」と指定します。

4. インシデントの重大性に従って、以下のような手順で実行します。
a)高：PMは、ただちにエンジニアリング責任者、セキュリティチーム、関連エンジニアとの会議を開催します。会議にて修正案を作成します。ただちにクラウドへの修正を開始します。アプリとファームウェアはできるだけ早く修正し、上記表に示される時間までにOTAがユーザーにプッシュされます。
b)中：PMは、セキュリティチーム、関連エンジニアと会議を開催します。会議にて修正案を作成します。また、上記表の時間までに修正/OTAを実施します。
c)低：PMは、セキュリティチーム、関連エンジニアと協議し、修正計画を作成します。対応する修正/OTAは、上記表の時間までに実施します。セキュリティチームは、上記のすべてのインシデントについて24時間以内にavs-security@amazon.comに送信し、インシデントの説明と深刻度を含む最初のレポートをＥメールに添付します。また、できるだけ早く、問題解決計画とそれに対応するリリース/OTAスケジュールを含むもう一つの報告書をavs-security@amazon.comに送信します。

70maiからのセキュリティ情報を受信する

セキュリティ勧告

多くの場合、70maiは、特定のセキュリティ脆弱性に対する実用的な回避策または修正を特定した時点で通知を送信しますが、セキュリティコミュニティで脆弱性が広く知られるようになった場合、回避策がない状態でも通知を送信する場合があります。

リリースノート（ReadMeまたは変更履歴）

セキュリティ更新に関連するリリースノートに含まれる情報は、CVEまたは内部追跡番号のいずれかを参照とします。いずれも、70maiが公表しているセキュリティ勧告に適宜記載されています。70maiが、できるだけ早くアップデートすることがユーザーのためになると判断した場合、セキュリティ勧告に先駆けて改善策をリリースする場合があります。勧告が公開された場合、リリースノートから追跡番号を参照することで、脆弱性に関する情報を確認することができます。

オープンソースの脆弱性修正に関連するリリースノートに含まれる情報には、公開されたCVEが含まれます。.

70maiは、オープンソースの脆弱性についてのセキュリティ勧告を公開しません。

参考情報

脆弱性に関する追加情報がある場合、勧告では参考情報としてリンクを提供します。当該リンクには、CVEやブログ、記事引用のリンクが含まれます。

謝辞

通常、70maiは、脆弱性の研究者や発見者に感謝の意を表し、許可を得て、クレジットを提供します。

改訂履歴

勧告の更新が行われた場合、いつ、何が更新されたのかを改訂履歴に表示します。

70maiは、サポート対象製品の脆弱性をできるだけ早く解決するために最善を尽くします。しかしながら、修正の複雑さ、品質テスト、禁輸措置、ベンダー間の調整などにより、特定の問題または問題のクラスに対応した応答レベルの適用が保証されるわけではありません。