現在、以下のバージョンがセキュリティアップデートを受けています:
| バージョン | サポート状況 |
|---|---|
| 1.0.x | ✅ サポート中 |
セキュリティ上の脆弱性を発見した場合、私たちはあなたの報告を真剣に受け止めます。セキュリティ上の問題を公開する前に、以下の手順に従ってください。
-
公開Issueを作成しないでください
- セキュリティ上の問題を公開Issueやプルリクエストで報告しないでください。
-
プライベートに報告
- セキュリティ上の問題を発見した場合は、以下のメールアドレスに直接連絡してください:
- GitHubのセキュリティアドバイザリ を使用することを推奨します
- または、リポジトリのメンテナーに直接連絡してください
- セキュリティ上の問題を発見した場合は、以下のメールアドレスに直接連絡してください:
-
報告に含める情報
- 脆弱性の種類と影響範囲
- 再現手順(可能な場合)
- 潜在的な影響
- 修正の提案(可能な場合)
- 確認: 報告を受け取ったことを確認します(通常24時間以内)
- 調査: 脆弱性を調査し、深刻度を評価します
- 対応: 適切な修正を開発します
- リリース: 修正を含むパッチをリリースします
- 公開: パッチがリリースされた後、脆弱性の詳細を公開します(適切な場合)
- 初回対応: 24時間以内に報告の受領を確認
- 評価: 7日以内に脆弱性の評価を完了
- 修正: 深刻度に応じて、30-90日以内に修正をリリース
現在、このプロジェクトはバグ報奨金プログラムを提供していませんが、セキュリティ上の問題を報告していただいた方には、適切なクレジットを提供します(希望する場合)。
- 定期的に
pnpm auditを実行して、既知の脆弱性をチェックしてください - 依存関係を最新の状態に保つことを推奨します
- 機密情報(APIキー、トークンなど)をコードに含めないでください
- 環境変数を使用して機密情報を管理してください
- コミット前に機密情報が含まれていないか確認してください
セキュリティ上の問題を報告していただいたすべての方に感謝します。あなたの貢献により、Medical Prompt Hubをより安全にすることができます。