本ポリシーは、発見した脆弱性を富士フイルムに報告する方法を、セキュリティ研究者にお知らせすることを目的としています。以下のプロセスは、「ISO/IEC 29147」に基づきます。
当社製品についての脆弱性のご報告は、下記の報告フォームからお願いします。
ご報告の際は以下の項目をご記入ください。
- 連絡先(お名前、メールアドレス)
- 製品名
- ソフトウェアまたはファームウェアのバージョン
- 脆弱性の詳細情報(想定される原因や再現手順などを含む)
また、当社からの連絡後、可能であれば以下の情報もご送付ください。送付の際はPGP鍵を使用してください。
- 実証コード(PoC)
- スクリーンショット
- 再現に必要なツールなどの名称
脆弱性報告の対象は、富士フイルムの製品です。
なお、下記に該当するものについては、対象外とさせていただきます。
- サポート対象外の製品(体験版・試用版、サポートを終了した製品)
脆弱性のご報告を受信した日を起点として7営業日以内に、ご指定いただいたメールアドレスへご連絡いたします。なお、当社所定休業日(年末年始休暇、夏季休暇、ゴールデンウィークなど)の期間中はご連絡が遅れる場合があります。
当社製品に脆弱性が存在するかどうかを確認後、改めてご連絡いたします。脆弱性が存在する場合、修正のスケジュール、セキュリティアドバイザリの公開について調整させていただきます。
公開にあたっては、報告者さま、関係者との間で日程を調整した上で速やかに以下の下記当社ウェブサイトまたは、個別製品のユーザー専用ページにセキュリティアドバイザリを掲載いたします。
当社ではご報告の内容に関わらず、報奨は提供しておりません。