Kong Security Updateのプロセス
脆弱性の報告
Kong Gatewayやその他のKongソフトウェアに実在するまたは潜在的な脆弱性を発見した場合、あるいは公開済みのセキュリティ脆弱性を知っている場合は、security@konghq.comにメールして、すぐ知らせてください。報告者には受信の確認メールに加え、問題の是非の特定時にも追加のメールを送信します。
報告を受け取ったら、脆弱性を調査してCVSSスコアを割り当てると、これが適切な修正の開発タイムラインを決定します。
修正の開発が進行中の間、未解決の脆弱性を第三者と共有したり公表したりしないようお願いします。責任を持って脆弱性レポートを提出した場合、当社はその報告をタイムリーに確認し、修正の予定スケジュールを通知するよう最善を尽くします。
修正版の開発プロセス
CVSS スコアが 4.0 以上(中程度以上の重大度)の脆弱性が発見され、Kong Gateway またはその他の Kong ソフトウェアの最新のメジャーリリースに影響する場合、当社は最もタイムリーな方法で修正プログラムを開発するよう取り組みます。修正に関する作業とコミュニケーションはプライベートチャネルで行われ、デリバリーの見積もりは脆弱性の報告者に提供されます。修正が開発され、検証されると、サポートされている各 Kong Gateway リリースとオープンソースゲートウェイの現在のリリースに対して、Kong から新しいパッチ バージョンがリリースされます。必要に応じて脆弱性を公開します。
発見された脆弱性のうち、CVSSスコアが4.0未満(深刻度が低い)のものは、同じ修正の開発とリリースプロセスに従いますが、緊急度は低くなります。
アップストリームプロジェクト(NGINX、OpenResty、OpenSSLなど)に影響する脆弱性は、アップストリームプロジェクトの公開タイムラインに従って修正されます。