| バージョン | サポート状況 |
|---|---|
| main | ✅ サポート中 |
| その他 | ❌ サポート終了 |
セキュリティ上の脆弱性を発見した場合は、公開 Issue を作成しないでください。
-
GitHub Security Advisory を使用して非公開で報告してください
- リポジトリの「Security」タブ → 「Report a vulnerability」
-
または、プロジェクトメンテナーに直接連絡してください
- 脆弱性の種類(例:XSS、SQL インジェクション、パストラバーサルなど)
- 影響を受けるファイル/コンポーネントの完全なパス
- 問題を再現するための手順
- 概念実証(PoC)コードまたはスクリーンショット
- 潜在的な影響の評価
- 受領確認: 報告受領後、48時間以内に確認の連絡をします
- 調査: 問題を調査し、影響範囲を特定します
- 修正: 修正パッチを開発します
- リリース: セキュリティアップデートをリリースします
- 公開: 適切な期間の後、脆弱性の詳細を公開することがあります
セキュリティ更新は、リリースノートで告知されます。
Paper-CAD を安全に運用するために:
- 本番環境では
CORS_ALLOW_ALL=trueを使用しない FRONTEND_URLを明示的に設定する- 信頼できるネットワーク内でのみ API を公開する
- 本番環境の環境変数を適切に設定する
- HTTPS を使用する
- 依存関係を定期的に更新する
- アップロードされるファイルのサイズと種類を制限する
セキュリティ脆弱性を責任を持って報告してくださった方々に感謝します。