CGI Program Security Advisories: 方針

SA を公開するにあたっての方針等について説明します。

目的

これらの SA は最終的に全体としてのセキュリティレベルを向上させるため、 以下の2点を目的として公開しています。

CGIプログラム利用者への情報提供

CGIプログラムにセキュリティ上の問題が起った場合、 リスクと責任を負うべきCGIプログラムの利用者に適切な情報を提供します。

CGIプログラム作成者への情報提供

プログラム作成者は過去のCGIプログラムの過ちから注意するべき点を学ぶことが可能になります。

調査対象・内容

CGIプログラムの知名度は無関係に調査を行います。 なお、調査内容は古くから散々言われている点のチェックが中心です。 したがって、目新しい点はほとんどありません。

発見から公表までの手順

セキュリティ上の問題を発見した場合原則的に作者に通知し、 修正のため2週間程度の期間は非公開とします。 (パッチまたは修正版が発表された場合はそれ以前でも公表します。) 原則として、パッチまたは修正版が出ていないという理由で 非公開にすることはありません。 また、参考コードは文書公開後2週間程度経過した後に追加します。

注意事項

これらの文書の内容は無保証です。 また、内容を不正に利用した場合には、 刑事上・民事上の責任を問われる場合があります。

再配布

これらの文書は変更が行われない限り自由に再配布してかまいません。 ここでいう変更とは以下を含みますが、これに限定されるものではありません。

• 電子署名の除去
• 文字コードの変換 (署名を有効に保つため)

他の形式で再配布したい場合はご相談下さい。