脆弱性の報告
セキュリティ上の脆弱性を発見された場合は、公開前にお問い合わせフォームから直接ご連絡ください。報告の際は、以下の情報を含めていただけると調査がスムーズです。
- 脆弱性の概要
- 再現手順
- 想定される影響範囲
- 修正案(あれば)
- 連絡先(任意・謝辞のため)
Lovai / Security
セキュリティ
Lovaiはユーザーのデータと取引の安全を最優先に考えています。 脆弱性を発見された場合は、責任ある開示にご協力ください。
対応方針とタイムフレーム
- 初動対応:報告から48時間以内に受領のご連絡をします。
- 修正・パッチ:確認後、原則30日以内の修正を目標とします。
- 公開:報告者と調整のうえ、パッチ提供後に協調して公開します。
責任ある開示(Responsible Disclosure)
善意のセキュリティ研究を歓迎します。次の条件を守って行動された研究者に対し、 Lovaiは法的措置を取りません。
- 協調的開示または90日が経過するまで脆弱性を公表しないこと
- 脆弱性の実証に必要な範囲を超えてユーザーデータにアクセス・改変・持ち出しをしないこと
- 脆弱性を悪意ある目的に利用しないこと
- 善意に基づいた報告を行うこと
対象範囲
主に次の領域を対象としています。
- 認証・認可(Supabase Auth、JWT、APIキー検証)
- RLS(行レベルセキュリティ)ポリシー
- 決済処理(Stripe連携、Webhook処理)
- 外部API(APIキーのハッシュ化、シークレットフィルタ)
- 入力検証・出力エンコード(XSS / SQLi / SSRF / CSRF 対策)
- 依存パッケージの脆弱性
一方で、ソーシャルエンジニアリング、DoS/DDoS、物理的攻撃、 認証情報へのブルートフォース、第三者サービス(Stripe・GitHub・Cloudflare等)の セキュリティは対象外です。