FIM One はセキュリティを真摯に受け止めています。脆弱性を発見した場合は、ぜひお知らせください。責任ある開示に対してクレジットを付与します。Documentation Index
Fetch the complete documentation index at: https://docs.fim.ai/llms.txt
Use this file to discover all available pages before exploring further.
脆弱性の報告
報告方法は2つあります:- GitHub Security Advisories(推奨)— プライベートアドバイザリを作成してください。修正がリリースされるまで、メンテナーのみが表示できます。
- メール — security@fim.ai に詳細を送信してください。説明、再現手順、影響を受けるバージョン、および影響評価を含めてください。
security ラベルを付けて通常の GitHub Issue を開くことができます。
対応タイムライン
| ステージ | 目標 |
|---|---|
| 確認応答 | 48時間以内(営業日) |
| 初期評価 | 5営業日以内 |
| 修正開発 | 緊急: 直ちに。高: 2週間。中/低: 次のリリース。 |
| 公開開示 | 修正がリリースされ、ユーザーが更新する時間を確保した後 |
スコープ
スコープ内
- 認証および認可のバイパス
- SQLインジェクション、コマンドインジェクション、またはコード実行
- クロスサイトスクリプティング(XSS)またはクロスサイトリクエストフォージェリ(CSRF)
- 認証情報またはAPIキーの露出
- ユーザー間またはオーガニゼーション間の権限昇格
- テナント境界を超えたデータ漏洩
対象外
- サードパーティの依存関係の脆弱性(上流に報告してください。Dependabotで監視しています)
- ソーシャルエンジニアリング攻撃
- 現実的な攻撃ベクトルのない サービス拒否(DoS)
- デモ/クラウド環境の問題で、セルフホスト型デプロイメントに影響しないもの
セルフホステッド セキュリティ ベストプラクティス
独自のインフラストラクチャで FIM One を実行している場合は、以下の推奨事項に従ってデプロイメントを強化してください。| プラクティス | 詳細 |
|---|---|
.env を保護する | バージョン管理から除外してください(.gitignore にはデフォルトで含まれています)。ファイルのアクセス権限をアプリケーションユーザーのみに制限してください。 |
強力な JWT_SECRET_KEY | 暗号学的にランダムな値を使用してください(最低32文字)。環境間でシークレットを再利用しないでください。 |
| TLS付きリバースプロキシ | nginx、Caddy、またはクラウドロードバランサーの背後で実行し、HTTPS を有効にしてください。アプリケーションポートをインターネットに直接公開しないでください。 |
| PostgreSQL を使用する | SQLite は開発環境とシングルユーザーセットアップに適しています。マルチユーザー本番環境デプロイメントの場合は、適切な同時実行性とデータ整合性のために PostgreSQL を使用してください。 |
| 最新の状態を保つ | 定期的に最新リリースをプルしてください。セキュリティパッチはベストエフォート基準で前のマイナーバージョンにバックポートされます。 |
| ネットワークアクセスを制限する | データベースとアプリケーションポートを信頼できるネットワークに制限してください。ファイアウォールルールまたはセキュリティグループを使用してください。 |