FIM One はセキュリティを真摯に受け止めています。脆弱性を発見した場合は、ぜひお知らせください。責任ある開示に対してクレジットを付与します。
脆弱性の報告
セキュリティ脆弱性について公開 GitHub Issue を開かないでください。 以下のプライベートチャネルのいずれかを使用してください。
- GitHub Security Advisories(推奨)— プライベートアドバイザリを作成してください。修正がリリースされるまで、メンテナーのみが表示できます。
- メール — security@fim.ai に詳細を送信してください。説明、再現手順、影響を受けるバージョン、および影響評価を含めてください。
低い重大度の問題(例:機密データを公開しないセキュリティヘッダーの欠落)の場合は、security ラベルを付けて通常の GitHub Issue を開くことができます。
対応タイムライン
| ステージ | 目標 |
|---|
| 確認応答 | 48時間以内(営業日) |
| 初期評価 | 5営業日以内 |
| 修正開発 | 緊急: 直ちに。高: 2週間。中/低: 次のリリース。 |
| 公開開示 | 修正がリリースされ、ユーザーが更新する時間を確保した後 |
スコープ
スコープ内
- 認証および認可のバイパス
- SQLインジェクション、コマンドインジェクション、またはコード実行
- クロスサイトスクリプティング(XSS)またはクロスサイトリクエストフォージェリ(CSRF)
- 認証情報またはAPIキーの露出
- ユーザー間またはオーガニゼーション間の権限昇格
- テナント境界を超えたデータ漏洩
対象外
- サードパーティの依存関係の脆弱性(上流に報告してください。Dependabotで監視しています)
- ソーシャルエンジニアリング攻撃
- 現実的な攻撃ベクトルのない サービス拒否(DoS)
- デモ/クラウド環境の問題で、セルフホスト型デプロイメントに影響しないもの
セルフホステッド セキュリティ ベストプラクティス
独自のインフラストラクチャで FIM One を実行している場合は、以下の推奨事項に従ってデプロイメントを強化してください。
これらのプラクティスは本番環境のデプロイメントに適用されます。ローカル開発の場合、デフォルト設定で問題ありません。
| プラクティス | 詳細 |
|---|
.env を保護する | バージョン管理から除外してください(.gitignore にはデフォルトで含まれています)。ファイルのアクセス権限をアプリケーションユーザーのみに制限してください。 |
強力な JWT_SECRET_KEY | 暗号学的にランダムな値を使用してください(最低32文字)。環境間でシークレットを再利用しないでください。 |
| TLS付きリバースプロキシ | nginx、Caddy、またはクラウドロードバランサーの背後で実行し、HTTPS を有効にしてください。アプリケーションポートをインターネットに直接公開しないでください。 |
| PostgreSQL を使用する | SQLite は開発環境とシングルユーザーセットアップに適しています。マルチユーザー本番環境デプロイメントの場合は、適切な同時実行性とデータ整合性のために PostgreSQL を使用してください。 |
| 最新の状態を保つ | 定期的に最新リリースをプルしてください。セキュリティパッチはベストエフォート基準で前のマイナーバージョンにバックポートされます。 |
| ネットワークアクセスを制限する | データベースとアプリケーションポートを信頼できるネットワークに制限してください。ファイアウォールルールまたはセキュリティグループを使用してください。 |
セキュリティ殿堂
確認された脆弱性報告者全員にクレジットを付与します(匿名を希望する場合を除く)。報告者はパイオニアプログラムの対象にもなります。
ここで最初にクレジットされるセキュリティ研究者になってください。
セキュリティポリシー全体
このページは主要なポイントをまとめています。完全なセキュリティポリシーについては、GitHubのSECURITY.mdを参照してください。 
