セキュリティ
Kisenon の責任ある開示ポリシー、連絡先、スコープ。
このページは Kisenon の正式なセキュリティポリシーです。これは RFC 9116 のもとで /.well-known/security.txt が広告する対象です。
脆弱性の報告
security@kisenon.com へ、次を添えてメールしてください。
- 問題の明確な説明。
- 再現手順 — 具体的なコマンド、リクエストペイロード、または小さな概念実証。雰囲気では対応でき ません。
- 影響を受けるホスト名(
kisenon.com、api.test.kisenon.com、エンドポイントホスト、その他) と、問題が観測された日時。 - 公開クレジット用に希望するハンドル名、または
anonymous。
セキュリティの問題を公開の GitHub トラッカーに登録しないでください。トラッカーは製品のバグや 機能リクエスト用で、誰でも読めるため、未修正の脆弱性には不適切です。
対応目標
Kisenon はアルファ段階であり、小さなチームによって運営されています。次を目指します。
- 受領確認 を 2 営業日以内。
- トリアージと深刻度の評価 を 5 営業日以内。
- 修正または緩和 を深刻度に比例したタイムラインで。重大な問題は機能開発より優先されます。
トリアージと是正を進める中で、随時最新情報をお伝えします。修正が出荷されたら、あなたと開示を 調整します。
スコープ
スコープ内:
kisenon.comの apex と、Kisenon が運営するそのサブドメイン(api.test.kisenon.com、cp.kisenon.com、*.kisenon.comの下のエンドポイントホスト)。- コントロールプレーンの HTTP API、
keonCLI、Web コンソール。 - 認証とセッション処理:NextAuth の Google/GitHub サインイン、cp 署名済み JWT の交換、CLI の
ループバック OAuth フロー、API キー(
nsk_…)の発行と失効。 - 分離:認可なしにプロジェクトまたは組織の境界を越える、別の組織のメタデータを漏らす、または エンドポイントごとのネットワーク境界を脱出する、あらゆるパス。
スコープ外:
- 共有インフラに対する生のトラフィック量によるサービス拒否。文書化された制限に対するレート制限 の発見は歓迎しますが、フラッディングは脆弱性ではありません。
- 動作する概念実証なしの、自動スキャナーの出力のみに基づく報告。
- Kisenon のスタッフやアルファテスターに対するソーシャルエンジニアリング。
- 私たちが依存するサードパーティサービス(GitHub OAuth、Google OAuth、MetalLB、k3s、Postgres 自体)の問題 — それらはアップストリームに報告してください。Kisenon 側の緩和策は引き続きスコー プ内です。
セーフハーバー
私たちは、次を満たす研究者に対して法的措置を取りません。
- このポリシーを誠実に遵守する努力をしている。
- 他の組織のサービス可用性を低下させない。
- 問題を実証するのに必要な最小限を超えてデータを持ち出さない。アクセスが証明されたらすぐに停止 し、列挙しない。
- 修正が出荷されるか、報告から 90 日が経過するか、いずれか早い方より前に、問題を公開で開示しな い。
PGP
PGP 暗号化された報告は受け付けますが、必須ではありません。公開鍵が必要な場合は、最初のメールで リクエストしてください。現在の鍵のフィンガープリントを帯域外で返信します。
関連
/.well-known/security.txt— RFC 9116 の機械可読なポリシー ポインタ。- 認証 — サインイン、API キー、CLI フロー。
- FAQ — セキュリティの問題はどこに報告すればよいですか? — このページへの短い ポインタ。