セキュリティ

RubyGems または RubyGems.org でセキュリティの問題を発見しましたか？報告するには、次の手順に従ってください。

セキュリティ問題の報告

続行する前に、これが RubyGems クライアントまたは RubyGems.org サービスのセキュリティ問題であることを確認してください。個々の Gem の脆弱性については、セキュリティ問題の報告に関するガイドに従ってください。Ruby on Rails フレームワークのセキュリティ問題の場合は、 Rails セキュリティガイドを参照してください。

RubyGems クライアントまたは RubyGems.org サービスのセキュリティバグまたは問題については、 security@rubygems.org に問題の詳細を記載したメールを送信するか、HackerOne を使用してレポートを送信してください。RubyGems クライアントライブラリは、報奨金報酬の対象となります。報奨金プログラムの詳細は、RubyGems HackerOne ページをご覧ください。

侵害された Gem または悪意のある Gem を発見した場合は、セキュリティ問題と見なしてください。security@rubygems.org に Gem 名を記載したメールを送信するか、HackerOne を使用してレポートを送信してください。報奨金報酬の対象外であることに注意してください。

rubygems-developers メーリングリスト、rubygems.org メーリングリスト、および #rubygems IRC チャネルは公開エリアです。これらの場所にエスカレーションする場合は、問題について議論しないでください。セキュリティチームの担当者に連絡しようとしていることを伝えるだけで十分です。セキュリティ問題を責任を持って開示していただき、ありがとうございます。

RubyGems.org ウェブサイトの問題の報告

Gem のプッシュで問題が発生した場合、または RubyGems.org アカウントに関するその他のヘルプが必要な場合は、新しいヘルプの問題を開いてください。

RubyGems.org のバグまたはその他の問題については、RubyGems.org イシュートラッカーを使用して新しい issue を開いてください。

開示ポリシー

RubyGems と RubyGems.org は、5 段階の開示ポリシーに従います

セキュリティレポートを受信し、プライマリハンドラーが割り当てられます。この担当者は、修正とリリースのプロセスを調整します。
問題が確認され、影響を受けるすべてのバージョンのリストが決定されます。コードは監査され、潜在的な同様の問題が検出されます。
修正は、まだサポートされているすべてのリリースに対して準備されます。これらの修正はパブリックリポジトリにコミットされず、アナウンスまでローカルに保持されます。
この脆弱性に関する推奨される公表禁止日が選択されます。
公表禁止日になると、 rubygems-developers メーリングリストにアナウンスが送信されます。これには、まだサポートされているすべてのバージョンのパッチが含まれます。変更はパブリックリポジトリにプッシュされ、新しい Gem が rubygems にリリースされます。メーリングリストに通知されてから少なくとも 6 時間後、勧告のコピーが RubyGems.org ブログに掲載されます。

このプロセスには、特に他のプロジェクトのメンテナーとの調整が必要な場合、時間がかかることがあります。バグをできるだけ迅速に処理するためにあらゆる努力が払われますが、上記のリリースプロセスに従って、開示が一貫した方法で処理されるようにすることが重要です。

セキュリティアップデートの受信

すべてのセキュリティアナウンスを受信する最良の方法は、 rubygems-developers メーリングリストに登録することです。

コアチームまたは最初の報告者以外の誰にも、公表禁止が解除される前に通知されることはありません。修正の調整に必要な最小限の範囲を超えた開示は、脆弱性の早期漏洩を引き起こす可能性があるため、トラフィックの多いサイトや重要なサイトについてもこのポリシーの例外を設けることはできません。ご了承ください。

このポリシーに関するコメント

このポリシーの改善に関するご提案がある場合は、 security@rubygems.org にメールを送信するか、 GitHub で issue を開いてください。ありがとうございます！