脆弱性ハンドリングポリシー
Forguncyでは、発見された脆弱性への対応と脆弱性情報の公開方法についてのポリシーを下記の通り定めています。
サポート期間
製品のテクニカルサポートと製品の不具合を修正した修正版(アップデート)の両方を提供する期間です。製品を販売している限り継続されます。製品の販売後は、販売開始から3年もしくは販売終了から1年のいずれか長いほうの期間まで提供されます。
修正版の適用は保守サービスに含まれ、保守サービスの契約期間中にリリースされた修正版を適用することができます。
脆弱性の評価
脆弱性の評価は共通脆弱性評価システム「CVSS(Common Vulnerability Scoring System) v3」を利用します。
CVSS v3
深刻度レベル分け
| 深刻度 | CVSS v3 基本値 |
|---|---|
| 緊急(Critical) | 9.0 ~ 10.0 |
| 重要 (Hight) | 7.0 ~ 8.9 |
| 警告(Middle) | 4.0 ~ 6.9 |
| 注記 (Low) | 0.1 ~ 3.9 |
| なし | 0 |
脆弱性情報の公開
脆弱性の内容、および対応についてナレッジベースにて公開します。
ナレッジベース
公開時期
脆弱性の内容、および対応についてナレッジベースにて公開します。
対策方法の公開と同時。ただし、複数のメジャーバージョンが該当する脆弱性で、脆弱性を修正したバージョンのリリース時期が異なる場合、最も遅いリリース時期に情報を公開します。
脆弱性の改修
脆弱性の深刻度に応じて対応します。
CVSS v3 基本値 7.0 以上(深刻度 重要/High 以上)
・通常サポート期間内のすべてのメジャーバージョンにおいてアップデート版をリリース
CVSS v3 基本値 6.9 以下(深刻度 警告/Middle 以下)
・リリース中の最新メジャーバージョンにおいてアップデート版をリリース
通常サポート期間内の製品については、製品ライフサイクルを参照してください。