セキュリティ
本ページでは、AIMO Standard のセキュリティポリシー(脆弱性報告・開示手順を含む)を説明する。
対象範囲
対象
- バリデータ参照実装(
validator/) - ビルド・リリースツール(
tooling/) - JSON スキーマ(
schemas/) - ドキュメントサイト基盤
対象外
- 仕様コンテンツ(規範テキストはセキュリティ成果物ではない)
- AIMO Standard を使用した採用者の実装
- 外部依存関係(上流メンテナに報告すること)
サポートバージョン
| バージョン | サポート |
|---|---|
| latest (dev) | 対応 |
| タグ付きリリース (vX.Y.Z) | 対応(直近2マイナーバージョン) |
| 古いリリース | 非対応(アップグレード推奨) |
脆弱性の報告
セキュリティ脆弱性については、公開 GitHub issue を作成しないこと。
プロセス
- GitHub のプライベート脆弱性報告機能で非公開報告
- 記載内容:説明、再現手順、影響バージョン、影響範囲
- 評価・修正開発の時間を確保
タイムライン
| フェーズ | 期間 |
|---|---|
| 受領確認 | 72時間 |
| 初期評価 | 7日 |
| 協調開示 | 最大90日 |
開示ポリシー
- 脆弱性は非公開で報告
- 公開前に修正を開発
- 修正後にセキュリティアドバイザリを公開
- 報告者をクレジット(匿名希望の場合を除く)
セキュリティ対策
- すべての変更に CI/CD チェック
- SHA-256 チェックサム付き署名リリース
- マージ前に必須 PR レビュー
完全なポリシー
完全なセキュリティポリシーは SECURITY.md を参照。
関連ページ
- Trust Package — 監査対応資料
- ガバナンス — プロジェクトガバナンス