責任ある開示
私たちは責任あるセキュリティ研究を歓迎します。JieGou の脆弱性を発見した場合は、責任を持ってご報告ください。
対象範囲
対象システム
console.jiegou.ai — メインアプリケーション
mcp.jiegou.ai — MCP サーバー
jiegou.ai — マーケティングウェブサイト
JieGou Chrome 拡張機能 — ブラウザ拡張機能(Chrome ウェブストア)
対象外
- サードパーティサービス(Firebase、AWS、Stripe、LLM プロバイダー)
- JieGou 従業員に対するソーシャルエンジニアリング攻撃
- サービス拒否(DoS/DDoS)攻撃
- 物理的セキュリティ攻撃
- 事前承認なしの自動スキャン
- サービスの可用性を低下させる可能性のあるテスト
参加規則
- 1 顧客データにアクセス、変更、削除しないでください。誤って顧客データにアクセスした場合は、直ちに停止して報告してください。
- 2 サービスの可用性を低下させる可能性のある操作を行わないでください(負荷テスト、DoS、リソース枯渇は禁止)。
- 3 専用のテストアカウントのみを使用してください。テスト用に自分のアカウントを作成し、他のユーザーのアカウントでテストしないでください。
- 4 脆弱性を迅速に報告し、公開前に合理的な修復時間を確保してください。
- 5 事前の書面による承認なしに、本番システムに対して自動スキャナーを使用しないでください。
- 6 すべての適用法を遵守してください。
報告方法
以下を含めてください
- 脆弱性の説明
- 再現手順
- 概念実証(スクリーンショット、動画、またはコード)
- 影響評価
- 推奨される修正方法(任意)
- フォローアップ用の連絡先情報
対応タイムライン
1
受領確認
48 時間 2
トリアージと重大度評価
5 営業日 3
修復(重大)
7 日 4
修復(高)
30 日 5
修復(中/低)
90 日 セーフハーバー
JieGou は以下の研究者に対して法的措置を取りません:
- 本ポリシーおよび参加規則に従う
- 善意で脆弱性を報告する
- 脆弱性の実証に必要な範囲を超えて悪用しない
- 顧客データにアクセス、変更、または窃取しない
本プログラムは雇用または請負関係を構成するものではありません。JieGou は本ポリシーをいつでも変更または終了する権利を留保します。