セキュリティ
ネオスは、自社の製品およびサービスのセキュリティを真剣に考えています。もしお客様が、ネオスのセキュリティ上の問題または問題を発見したと思われる場合には、以下の方法で当社に報告してください。
報告すべき問題
一般的に次のような問題点があると考えられます:
- 個人情報/情報収集
- Private Dataに関する下記の注意事項をご参照ください。
- 通貨の窃盗/操作
- ユーザーのコンピュータへのアクセス / 権限昇格攻撃
- Neos Cloudの問題など
- パーミッションシステムへの侵入とバイパス
- アバター、ワールド、オブジェクトの盗用とリッピング
- Neos Guidelinesで定義されています。
- 意図的なネオスのクラッシュとワールドのクラッシュ*
* Neosがベータ版であり性質上、クラッシュはよくあることです。しかし、クラッシュの報告は歓迎しますので、ぜひ報告してください。詳細はIssue Bountiesを参照してください。
これはすべてを網羅したリストではありませんので、報告の際には最善の判断を下してください。気になる問題があれば、ぜひ報告を検討してください。私たちは、問題を知らないよりは知っていたほうがいいと思っています。
セキュリティの問題や脆弱性の報告
次のようなパブリックな手段でセキュリティ問題を報告してはいけません:
- GitHubでのIssue
- Neos Discord
- Neosのパブリックセッションでの会話
- Twitterとその他のソーシャル・メディア
私たちのモデレーションチケットシステムで「脆弱性の報告」オプションを使用してセキュリティレポートを開いてください。
報告書を提出する際には、できるだけ多くの情報を記載してください。記入すべき事項の良い例は以下の通りです:
- 何を見つけたのか?
- どうやって見つけたのか?
- どれくらい深刻だと思うか?
- 他のユーザーがその発見を目撃していたり、気づいていたりしたか。
- ログ
- 再現方法
- スクリーンショット
- 動画
- 再現したアイテムへのリンクまたはURL
また、このレポート/発見についてのクレジット表示を希望しない場合は、その旨を記入してください。問題を解決した場合、ユーザーがオプトアウトしない限り、変更ログにユーザー名前が記載されることがあります。ユーザーがオプトアウトしても、報酬を受け取る能力には影響しません。
報告のルールとガイドライン
これらのガイドラインは、一般的なNeosガイドラインに取って代わるものではありませんが、セキュリティ問題の分野で追加のガイダンスを提供することを目的としています。
- セキュリティ上の問題を報告したからといって、お客様を禁止したり、アカウント制限をかけたりすることはありません。問題を報告することは正しいことであり、私たちはお客様が報告することを奨励します。
- 問題を再現するために、他のユーザーやそのデータを必要とする場合は、事前にそのユーザーの同意を得てください。
- 発見・報告した問題を公に開示・共有したり、その利用を奨励したりしないでください。
- これには、問題の実演、「見せびらかし」、広告などが含まれます。
- ユーザーへの嫌がらせ、混乱、脅しを目的とした公の場での課題の使用/実演は、ハラスメントガイドラインに基づいてアカウントが制限される場合があります。
- 公開セッションや自分がホストではないセッションで問題をテスト、再現、調査することは避けてください。
- 問題が解決された後は、必要に応じてその問題を公開で議論することができます。
- その際には、他のすべてのNeosのガイドラインに従い、プロフェッショナルなコメントを心がけ、Neosとそのコミュニティを尊重することを忘れないでください。
- 問題を自慢したり、自画自賛したりしないでください。
プライベートデータ
NeosはセッションのためのPeer to Peerのインフラストラクチャーを持ち、「in Neos」の開発に関しては柔軟性と開放性を持っているため、何をプライベートデータとして分類するかが不明瞭になることがあります。
この点を少しでも明確にするために、私たちがプライベートデータとみなさない一般的なデータのリストを以下に示します。
- ユーザー名
- ユーザーID
- マシンID
- IPアドレス
- Steam ID
- Steam Networking SocketsおよびRich Presenceで使用されます。
- Discord ID
- Discordのリッチプレゼンスで使用
- これらの情報は個人情報とはみなされませんが、他のNeosのガイドラインに違反する方法で使用または取得した場合は、アカウントが制限されることがあります。
報告の仕方
当社のチケットシステムに報告書が提出されると、次のような反応があります。
- 確認応答 - 当社のチケットシステムからの応答で、お客様のチケットを受け取ったことをお知らせします。
- さらなる回答 - Neosの担当者が、お客様の問題をトリアージして解決するために、追加の質問や説明を連絡することがあります。
- 担当者と協力して、できるだけ多くの情報を提供し、担当者の質問に答えてください。
- お客様の問題についてネオス社と協力することで、問題を再現し、より早く解決することができます。
- 解決 - 問題が解決されると、この問題が解決されたことを示す追加のメッセージが表示されます。
報告の例
コミュニティから提出されたレポートの例があり、修正につながります。 それは匿名化され、私たちが探しているものの例を提供するためにあなたに提示されました。
Issue 報奨金制度
Neosに問題を報告すると、セキュリティ問題の報告に対して報酬やインセンティブが与えられる場合があります。報酬はCDFT(Community Developer Fund Token)という形で提供されますが、これについてはNeosのホワイトペーパーで詳しく説明しています。
CDFTで報酬を提供することにしたのは、Neosの成長に合わせて報酬を提供することができるからです。NeosによってNCRの価格が上昇すると、報酬の現実的な価値も上昇します。これにより、長期的な価値を考慮すると、より大きな報酬を提供することができます。
CDFTの授与額は、以下のようないくつかの要素によって異なります(これらに限りません):
- 問題の深刻さ
- 問題の複雑さ
- レポートの質
また、すべてのケースで報奨金が発行されるわけではありません。報奨金が発行されない理由には以下のようなものがあります:
- 無効なIssue
- 以前に報告された課題と同じ根本原因を持つIssue
- 他のユーザーが以前に報告したことのあるIssue
- Neosチームが認識しており、より大きなロードマップ項目の一部としてカバーする予定のIssue。
- セキュリティに関連したIssue、または悪用可能な問題として分類されていないIssue。
- 匿名で投稿されたIssue。
- 受賞を希望するが、公には匿名を希望する場合は、問題の発見者としてクレジットされないようにすることができます。Issueを報告する際には、お名前と公には匿名にしておきたい旨を必ず明記してください。
どのような場合でも、Neosチームは、特定の問題に対する適切な報奨があるとすれば、それはどのようなものかを議論し、検討します。その結果、合意に基づいて報奨金が支給されます。決定には時間がかかることがあります。即座に決定されることはありません。
この報酬は、レポートに対するインセンティブと報酬であり、競争やレース、給料を目的としたものではないことを覚えておいてください。当社は、いつでもこの報奨金を変更、更新、削除、または追加することができます。
このプログラムに関連して、通常のネオスのガイドラインに違反する行為があった場合、報奨金が没収され、将来的に報奨金の検討対象から外される可能性があります。
報酬額
ネオスチームとの協議の結果、懸賞金の授与を選択すると、5000~10000 CDFTの間の金額が授与されることがあります。報酬は保証されていません。
複数の問題が報告されることで、通常のCDFTの申請が強化される場合もあります。
報告のたびにCDFT申請書を提出したり、セキュリティ報告活動のためだけに申請書を提出したりしないようにしてください。
グループ・チーム報奨金について
グループやチームで活動する場合は、その旨を報告書に記入してください。報酬が発生した場合には、あなたに連絡して、あなたのグループやチームが報酬をどのように分配するかを決めていただきます。
遡及特典
過去に通報したことがある場合、その通報に対して遡って報奨金を支給することはありません。
このような場合、まだ有効なCDFT申請書をお持ちでない方は、通常のCDFT申請書を提出されることをお勧めします。過去のセキュリティレポートや現在の活動状況は、申請書を強化するために考慮されることがあります。
報告のたびにCDFT申請書を提出したり、セキュリティ報告活動のためだけに申請書を提出したりしないようにしてください。
モッド&プラグイン
ModとPluginのポリシーも御覧ください。
これは私たちのGitHubのSECURITY.mdからコピーされたものです。2021-09-08.古くなっている可能性があります。ダブルチェックするためにオリジナルのソースをチェックしてください